url:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/cc732443(v=ws.11)

    但是近些年好像被玩坏了。

    靶机:windows 2003 windows 7

    默认下载为bin文件。但是不影响在命令行下使用。
    第三十八课:certutil一句话下载payload - 图2

    而在应急中certutil也是常用工具之一,来对比文件hash,来判断疑似文件。

    Windows 2003:
    第三十八课:certutil一句话下载payload - 图4

    Windows 7:

    certutil的其它高级应用:

    第三十八课:certutil一句话下载payload - 图6

    解密:
    第三十八课:certutil一句话下载payload - 图8

    file:downfile.txt

    后者的话:powershell内存加载配合certutil解密是一件非常有趣的事情。会在未来的系列中讲述。

    Micropoor