极限环境下使用certutil+PowerShell配合Burp快速落地文件技术指南

技术背景

在渗透测试中，经常会遇到极限环境（如站库分离且仅允许DNS外传数据的情况），需要将文件（如Cobalt Strike的payload）落地到目标系统。传统方法使用certutil和echo会遇到以下问题：

1. echo命令会在每行末尾追加空格
2. HTTP传输中的URL编码问题可能导致解码错误
3. 大文件逐行echo效率极低

技术原理

本方法结合了以下技术：

• certutil：Windows内置工具，用于编解码文件
• PowerShell：通过Out-File命令更可靠地写入文件
• Burp Suite：利用其爆破模块实现自动化分块传输

详细操作步骤

1. 文件准备阶段

1. 在本地对待传输文件进行Base64编码：

   certutil -encode 原始文件 编码后.txt
   

2. Burp Suite配置

1. 捕获目标系统的请求（如登录请求）

2. 发送到Burp的Intruder模块

3. 配置攻击位置：

   cmd=powershell -c "'§§' | Out-File C:\1.txt -Append"
   

   其中§§是Burp的payload标记位置

4. Payload设置：

   • 选择之前生成的Base64编码文件作为字典源
   • 勾选"URL编码"选项

5. 攻击设置：

   • 选择"单线程"模式（避免写入顺序错乱）
   • 可设置每次请求后延迟1秒（可选）

3. 执行攻击

1. 启动攻击，Burp会逐行发送Base64编码内容到目标
2. PowerShell会将每行内容追加到指定文件（如C:\1.txt）

4. 目标系统解码

攻击完成后，在目标系统执行：

certutil -decode C:\1.txt 最终文件

技术优势

1. 可靠性：

   • PowerShell的Out-File避免了echo的空格追加问题
   • Burp的URL编码处理确保特殊字符正确传输

2. 效率：

   • 自动化分块传输，无需手动逐行echo
   • 适合大文件传输

3. 隐蔽性：

   • 使用系统内置工具，减少可疑行为
   • 可通过常见请求（如登录）隐藏传输行为

验证方法

1. 比较本地和目标文件的哈希值：

   • 编码后的txt文件
   • 解码后的最终文件

2. 使用certutil验证解码是否成功

注意事项

1. 确保目标系统允许PowerShell执行
2. 考虑目标系统的字符编码环境
3. 大文件传输可能需要较长时间，需保持连接稳定
4. 根据实际情况调整Burp的传输速度和线程数

扩展应用

1. 可结合DNS隧道技术用于更严格的网络环境
2. 可修改为其他编码/传输方式组合
3. 适用于各种需要文件落地的渗透场景

通过这种方法，可以在各种极限环境下可靠地将文件传输到目标系统，解决了传统方法中的诸多痛点。