通过命令下载执行恶意代码的几种姿势

本文转载自微信公众号「Bypass」，作者Bypass。转载本文请联系Bypass公众号。

在渗透过程中，攻击者往往需要通过命令下载执行恶意代码，实现信息收集、持久化、权限提升、防御绕过、提取凭证、横向移动、数据渗出等操作。

在目标主机执行恶意代码，可以分为上传/下载并执行恶意代码和无文件远程恶意代码执行。接下来，我们来总结一下Linux和Windows中下载和执行恶意代码的一些姿势。

一、Linux 远程恶意代码执行

01、curl

以用curl的方式执行http页面上的shell脚本，无需download，在本地机器上直接执行。

02、wget

执行wget命令远程下载恶意程序。

curl+wget合并，实现无文件远程恶意代码执行。

03、rcp

rcp命令用于复制远程文件或目录。

04、scp

scp 是 rcp 的加强版，scp 是加密的，rcp 是不加密的。

05、rsync

使用rsync可以进行远程同步，拉取文件到本地服务器。

06、sftp

使用sftp下载远程服务器上的文件。

二、Windows 远程恶意代码执行

01、Powershell

利用powershell远程执行ps1脚本。

02、Bitsadmin

利用bitsadmin命令下载文件到目标机器。

03、certutil

用于备份证书服务，一般建议下载完文件后对缓存进行删除。

04、rundll32

使用rundll32.exe，可以通过mshtml.dll执行JavaScript ，依赖于WScript.shell这个组件

05、regsvr32

远程加载执行，解析.src文件。

06、wmic

执行WMIC以下命令从远程服务器下载并运行恶意XSL文件：

07、msiexec

用于安装Windows Installer安装包，可远程执行msi文件。

08、IEExec

IEexec.exe应用程序是.NET Framework附带程序，运行IEExec.exe并使用url启动其他程序。

09、mshta

mshta用于执行.hta文件

10、msxsl

msxsl.exe是微软用于命令行下处理XSL的一个程序

11、pubprn.vbs

在Windows 7以上版本存在一个名为pubprn.vbs的微软已签名WSH脚本，可以利用来解析.sct脚本：