文章总结： 本文介绍内网渗透中遇到云桌面限制上传exe文件时的两种绕过方法：利用Windows系统自带的CertUtil和PowerShell工具将exe文件进行Base64编码为txt文本上传，再在目标主机解码还原为可执行文件。文章通过fscan工具演示完整操作流程，适用于不出网的云桌面环境，提供实用的渗透测试技术方案。 综合评分： 82 文章分类： 内网渗透,WEB安全,渗透测试,安全工具,实战经验

内网渗透之云桌面文件上传限制绕过

原创

Al1ex Al1ex

七芒星实验室

2024年6月4日 07:30 四川

在小说阅读器读本章

去阅读

文章前言

有时候我们在对内网环境环境进行渗透时发现了可渗透的云桌面并且进入到了云桌面的操作界面时，此时我们想要对该内网进行进一步的渗透测试却发现当我们上传一些工具到云桌面时却无法上传exe文件，但是可以上传诸如txt的文本文件，而且云桌面不出网，在这种情况下我们可以考虑通过window系统自带的一些工具来实现对文件上传限制的绕过

具体实现

CertUtil

Windows 7之后的windows系统自带CertUtil命令，它可以用于MD5、SHA1等算法的加密和解密操作，我们可以使用CertUtil对我们想要上传的exe文件进行base64加密并输出未文本之后在通过目标主机上的certUtil将其还原从而实现上传文件的目的，下面进行尝试

Step 1：正常fscan执行如下

fscan64.exe -h

Step 2：使用CertUtil进行编码

CertUtil -encode fscan64.exe fscan_base64.txt

Step 2：使用CertUtil进行编码

CertUtil -encode fscan64.exe fscan_base64.txt

Step 3：之后使用CertUtil进行解码还原fscan64.exe

CertUtil -decode fscan_base64.txt fscan_base64.exe

Step 4：执行解密后的fscan确定可以正常使用

Powershell

Powershell亦可以用于加密解密操作，这里的思路和上面一致，我们可以使用Powershell对想要上传到目标云桌面的exe程序进行base64加密操作并转为txt格式，之后上传txt到云桌面，最后在云桌面在调用系统自带的Powershell进行解密还原exe程序即可，下面是具体实现：

Step 1：Fscan执行结果如下

Step 2：使用PowerShell进行base64编码，将fscan64.exe编码输出未txt文本程序

$PEBytes = [System.IO.File]::ReadAllBytes("fscan64.exe") $Base64Payload = [System.Convert]::ToBase64String($PEBytes) Set-Content fscan_base64.txt -Value $Base64Payload

Step 3：之后使用PowerShell对fscan_base64.txt进行base解码并从中还原处fscan64.exe

$Base64Bytes = Get-Content ("fscan_base64.txt") $PEBytes= [System.Convert]::FromBase64String($Base64Bytes) [System.IO.File]::WriteAllBytes("fscan_base64.exe",$PEBytes)

Step 4：之后执行还原后的程序确保可以正常使用

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：七芒星实验室 Al1ex Al1ex《内网渗透之云桌面文件上传限制绕过》