Evi1cg同学前不久放出CVE-2017-11882的一个 python利用脚本,地址在https://github.com/Ridter/CVE-2017-11882/,不过其中一个版本里边有一个限制,执行命令只能用43个字节。如果要用43个字节来完成一个文件的下载执行,在我所掌握的命令行知识里,除了mshta命令,其它的好像都做不到。所以在这里我就浅谈一下如何构造这个mshta命令,另外提一下hta文件在安全方面的一个应用。 mshta.exe是微软Windows操作系统相关程序,用于执行.HTA文件
当目标点开美图(恶意LNK快捷方式文件:confidential.jpg.lnk),使目标认为他正在打开图像(confidential.jpg),HTA dropper 隐藏在快捷方式文件中。LNK将执行HTA,HTA将依次执行并删除的DLL payload,并且用诱饵图片替换快捷方式(confidential.jpg)。过程如下:
今天,我们将学习有关HTA攻击的不同方法。HTA是有用且重要的攻击,因为它可以绕过应用程序白名单。在上一篇文章中,我们讨论了“ Windows Applocker策略-入门指南 ”,因为它们定义了应用程序控制策略的AppLocker规则以及如何使用它们。但是今天,您将学习如何使用mshta.exe绕过Applocker策略。
HTA简介:HTA是HTML Application的缩写(HTML应用程序),是软件开发的新概念,直接将HTML保存成HTA的格式,就是一个独立的应用软件,与VB、C++等程序语言所设计的软件没什么差别。 下面是一个HTA的例子:
Zscaler 的研究人员发现暗网上正在出售名为 Quantum Builder 的构建工具,该工具可以投递 .NET 远控木马 Agent Tesla。与过去的攻击行动相比,本次攻击转向使用 LNK 文件。
很长一段时间以来,HTA文件一直被web攻击或在野恶意软件下载程序用作恶意程序的一部分。HTA文件在网络安全领域内广为人知,从红队和蓝队的角度来看,它是绕过应用程序白名单有价值的“古老”方式之一。运行Microsoft HTML应用程序主机的Mshta.exe,Windows OS实用程序负责运行HTA(HTML应用程序)文件。我们可以运行JavaScript或Visual的HTML文件。您可以使用Microsoft MSHTA.exe工具解析这些文件。
漏洞概述 FireEye最近公布了一个OFFICE 0day,在无需用户交互的情况下,打开word文档就可以通过hta脚本执行任意代码。经过研究发现,此漏洞的成因主要是word在处理内嵌OLE2LI
我去前面探探路 众所周知,Powershell早已被集成到了windows的环境中,国外大牛玩得不亦乐乎,而国内圈子却很少听到讨论Powershell的,至少我身边只有一位小伙伴一起研究,HTA更不用说了,不是学计算机的或许根本不知道这是什么鬼,当然也包括那些当年计算机基础翘课的…… 男女搭配干活不累; 我爸揍我、我妈踹我,混合双打; 两王在手,拆开出、当炸弹打,怕了么; 每每两强相遇,怪怪的灵感就来了; 6级惹!看我QWER滚键盘式组合技!啪!啪!啪! 金角大王 Powershell Linu
HTA是指HTML Application,它是一种基于HTML和JavaScript的Windows应用程序格式。HTA文件扩展名为".hta",在Windows系统中可以像其他可执行文件一样运行。HTA文件使用Internet Explorer作为其渲染引擎并具有访问本地计算机资源的权限,因此可以执行许多强大的操作,包括读写本地文件、调用系统命令等。由于这些功能,HTA文件也可能被恶意软件利用进行攻击。
取决于Windows系统的版本,通过HTTP下载的文件缓存位置为IE的本地缓存,在下面的路径之一:
在前几章中,我们知道了攻击者可以使用XSS提取用户信息凭证,然而,它的威力可不止于此,只要稍加一些社会工程学,攻击者就可以使用XSS来欺骗用户下载执行恶意文件,从而进一步控制主机和内网。
最新 Office 的 CVE-2017-11882,完美无弹窗,无视宏,影响 office 全版本。利用触发器 WebClient 服务从攻击者控制的 WebDav 服务器启动和执行远程文件。该脚本使用多个 OLE 对象创建简单的文档。这些对象利用 CVE-2017-11882,从而导致连续命令执行。
响尾蛇(SideWinder)组织是据称具有南亚背景的APT团伙,其主要针对周边国家政府机构等重要组织开展攻击活动,窃取敏感信息。
hta在打开的时候,有时候会被杀毒软件拦截而不给执行,更重要的一点是通常都可以右击查看源代码,里面如果涉及到域名或者其它的一些细节就很容易被其它人了解。
thr0cyte,Gr33k,花花,MrTools,R1ght0us,7089bAt
CVE-2017-8759 是前几天出的 0 DAY ,搜了下,国内几乎没有人复现,这个洞总体来说,危害很大,而且比CVE-2017-0199 更难防御。 漏洞成因分析: 360:一个换行符引发的奥斯卡0day漏洞(CVE-2017-8759)重现:最新的Office高级威胁攻击预警 (点击阅读原文查看链接) FireEye:FireEye Uncovers CVE-2017-8759: Zero-Day Used in the Wild to Distribute FINSPY (点击阅读原文查看链接)
注意:这里选择的hta木马文件不用向服务器传,在使用host file时cs会自动把这个文件放到服务器,在CS目录下的uploads文件夹中
这是一个可以让黑客欣喜若狂的新漏洞,一旦该漏洞被激活,就会有大量计算机成为黑客手中的肉鸡,被人远程控制不可避免……
点燃灵感 星之海洋 不知大家是否见过浏览器窗口(哎呦,不要打我!),其实,不要小瞧了这普普通通的windows,除了常用的window.open()与window.resizeTo()方法来开启窗口外,仔细挖掘,你还能找到许多奥秘在里头,下面就跟着我一起来探索探索吧~~let's go! 一、继续解剖window.open() 说明:如无特别说明,以下红色标注的代码就是关键代码 1、弹启一个全屏窗口 window.open('http://www.fwcn.com','example01','fullscreen')
最近360核心安全事业部高级威胁应对团队在全球范围内率先监控到了一例使用0day漏洞的APT攻击,捕获到了全球首例利用浏览器0day漏洞的新型Office文档攻击,我们将该漏洞命名为“双杀”漏洞。该漏洞影响最新版本的IE浏览器及使用了IE内核的应用程序。用户在浏览网页或打开Office文档时都可能中招,最终被黑客植入后门木马完全控制电脑。
前言 近期,FireEye检测到了一种利用漏洞CVE-2017-0199的恶意OfficeRTF文档——本周早前FreeBuf也报道了这一漏洞,在无需启用Word宏的情况下,打开恶意RFT文档就可感染恶意程序。当用户打开嵌入了漏洞利用代码的恶意文档之后,这个漏洞将允许攻击者在目标设备中下载并执行一个包含PowerShell命令的Visual Basic脚本,而FireEye所发现的这个恶意Office文档正是利用了漏洞CVE-2017-0199来在受感染设备上下载并执行恶意Payload。 目前,Fir
CSV公式注入(CSV Injection)是一种会造成巨大影响的攻击向量,攻击这可以向Excel文件中注入可以输出或以CSV文件读取的恶意攻击载荷,当用户打开Excel文件时,文件会从CSV描述转变为原始的Excel格式,包括Excel提供的所有动态功能,在这个过程中,CSV中的所有Excel公式都会执行,当该函数有合法意图时,很易被滥用并允许恶意代码执行。
从参考文章1里发现有三种方法:HTMLRunExe 工具、hta文件、nwjs工具。 我只尝试过其中的 hta 和 nwjs,并且最终采用了nwjs工具。所以此处只比较下这两种方法。
网络安全研究人员发现从2019年以来正在进行的针对印度国防部门和武装人员的网络间谍活动的新证据,目的是窃取敏感信息。
一、 基本变化 <SCRIPT LANGUAGE="javascript"> </SCRIPT> 参数解释: window.open 弹出新窗口的命令; 'page.html' 弹出窗口的文件名; 'newwindow' 弹出窗口的名字(不是文件名),非必须,可用空''代替; 100 窗口高度; width=400 窗口宽度; top=0 窗口距离屏幕上方的象素值; left=0 窗口距离屏幕左侧的象素值; toolbar=no 是否显示工具栏,yes为显示; menubar,scrollbars 表示菜单栏和滚动栏。 resizable=no 是否允许改变窗口大小,yes为允许; location=no 是否显示地址栏,yes为允许; status=no 是否显示状态栏内的信息(通常是文件已经打开),yes为允许; 二、 弹启一个全屏窗口 加入fullscreen <SCRIPT LANGUAGE="javascript"> </SCRIPT> 三、 打开一个和按F11所见到的一样的窗口 加入channelmode <SCRIPT LANGUAGE="javascript"> </SCRIPT> 四、 打开一个连标题栏都没有的窗口(无标题、最小、最大、以及关闭按钮) <HTML><HEAD> <META http-equiv=Content-Type content="text/html; charset=gb2312"> <script language="javascript"> function unload() { var popUpSizeX=200; //窗口的宽度 var popUpSizeY=166; //窗口的高度 var popUpLocationX=2;//距离左边的距离 相当于 left var popUpLocationY=2;//距离顶端的距离 相当于 top // URL of the popUp var popUpURL="http://www.33d9.com/default.asp";; //打开页面的路径 // ** 下面的就不要随便改了 *** splashWin = window.open("",'x','fullscreen=1, ,scrollbars=auto,resizable=1'); splashWin.blur(); // Hide while updating window.focus(); splashWin.resizeTo(popUpSizeX,popUpSizeY); splashWin.moveTo(popUpLocationX,popUpLocationY); splashWin.location=popUpURL; } // END unload(); </script> </HEAD> <BODY></BODY></HTML> 看看,什么效果? 如果把resizable 设为0 scrollbars = no 呢? 五、 没有最大化按纽的窗口 其实也就是象软件的“关于我们”的那个窗口一样,下面就是用对话框窗口来实现它。 showModalDialog()以及showModelessDialog() 1.用showModalDialog() <html> <SCRIPT LANGUAGE="javascript"> </SCRIPT> http://w
在“自解压选项”的“设置”中,设置“提取后运行”为:jshaman.hta,即刚刚创新建的hta文件。
前面我提到过[HTA-2_0] Affymetrix Human Transcriptome Array 2.0芯片的分析其实挺麻烦的,首先需要搞清楚下面3个平台的差异:
近日从客户处捕获一枚邮件附件中的可疑word样本,以下是扫描结果,检测率貌似不高。 手动分析吧。 文件md5:0b16b255918264667a9f03e0b9f45167 1.攻击流程的第一步 打
响尾蛇(又称SideWinder,T-APT-04)是一个背景可能来源于印度的 APT 组织,该组织此前已对巴基斯坦和东南亚各国发起过多次攻击, 该组织以窃取政府, 能源, 军事, 矿产等领域的机密信息为主要目的。
CVE-2017-11882是微软公布的一个远程执行漏洞,该漏洞的成因是EQNEDT32.EXE进程在读入包含MathType的OLE数据时,在拷贝公式字体名称时没有对名称长度进行校验,从而造成栈缓冲区溢出,是一个非常经典的栈溢出漏洞,该漏洞主要影响以下应用:
在渗透过程中,通常会需要向目标主机传送一些文件,来达到权限提升、权限维持等目的,本篇文章主要介绍一些windows和Linux下常用的文件下载方式。
Octopus是基于python3的开源项目,可进行操作的C2服务器,可以通过HTTP / S控制Octopus powershell代理。
HTA是HTML Application的缩写,本⽂介绍HTA在内⽹渗透中的⼏种运⽤。
钓鱼攻击是网络犯罪团伙常用的一种手段,很多勒索病毒都曾使用邮件钓鱼的方式欺骗受害者打开相应的附件,运行恶意样本,导致受害者被勒索加密,钓鱼邮件攻击也是APT攻击的常用手段之一,如果收到陌生的邮件,千万不要随便点击附件链接或打开邮件附件中的文件。
高级持续性威胁(APT,Advanced Persistent Threat)对蓝队来说是一项重大挑战,因为攻击者会长时间应用各种攻击,阻碍事件关联和检测。 在这项工作中利用各种不同的攻击场景来评估终端检测与响应系统(EDR,Endpoint Detection and Response)和其他安全解决方案在检测和预防 APT 方面的功效。 结果表明,由于最先进的终端安全系统无法预防和记录这项工作中报告的大部分攻击,因此仍有很大的改进空间。 此外,还讨论了篡改 EDR 遥测提供者的方法,从而允许攻击者进行更隐蔽的攻击。
这篇文章来自@Sin好友投稿,和我之前写的"记一次从Jboss到3389远程桌面案例"是一个目标,但我只是记录了遇到的问题,他写的更全一些,不过也不完整。
最近,TechHelpList将一个用于传播Hancitor恶意软件的Word文档上传到了VirusBay,并概述了与之相关的站点、C2服务器以及由该文档所释放的payload。由于Hancitor通常被用于下载Pony和ZeusPanda恶意软件,因此我决定对这个文档进行分析,以了解程序流程和功能。
2023年11月,知道创宇404高级威胁情报团队成功捕获到海莲花组织最新的攻击样本。该样本以购买BMW汽车为主题,诱导攻击目标执行恶意文件。与此同时,该攻击与今年APT29的诱导主题和木马加载流程有相似之处,初步分析表明这可能是攻击者故意模仿的结果。
勒索软件几乎每周都会增加新的“家族成员”,这类威胁的影响力不断上升。Emsisoft(奥地利的信息安全公司,主营业务有反恶意软件、互联网安全、应急响应、移动安全等)的研究员致力于发现与分析新型威胁,对于这个名为Spora的勒索软件也不例外。2017年1月10日该勒索软件首次在ID-Ransomware上被发现,因其特有的功能以及高水准的技术与展示界面引起了我们的注意。本文不但会介绍Spora的内部工作原理,还将介绍其索取赎金的现代化商业模式。 走近Spora Spora由C语言编写而成并使用UPX可执行
--------------------转载自freebuf 微软的11月份的安全补丁包含了一个隐藏17年之久的Office远程代码执行漏洞(CVE-2017-11882),该漏洞影响目前所有流行的O
传统的恶意软件(例如.exe)攻击感染一个系统之前会把恶意文件(例如exe)复制到目标磁盘中并修改注册表并连接到此文件来达到一个长期隐藏的目的,无文件落地攻击是指即不向磁盘写入可执行文件,而是以脚本形式存在计算机中的注册表子项目中,以此来躲避杀软的检测,那么绕过了传统防病毒(AV)寻找被保存到磁盘上的文件并扫描这些文件以确定它们是否恶意的查杀方法。
这次渗透是从站库分离的情况下在深入进去内网在拿下域控服务器,也都是普通的渗透思路,并没有什么技术含量!首先WEB点是一个MSSQL注入漏洞,并且这个注入是sa权限的!首先这个站点是使用JoomlaCMS搭建的,但是在一处Study信息登记处发现了SQL注入漏洞
CVE-2017-0199:Microsoft Office RTF 漏洞利用指南 From ChaMd5安全团队核心成员 zusheng 一、介绍 FireEye最近检测到利用CVE-2017-0199安全漏洞的恶意Microsoft Office RTF文档,要知道CVE-2017-0199可是此前尚未公开的漏洞。当用户打开包含该漏洞利用代码的文档时,恶意代码就会下载并执行包含PowerShell命令的Visual Basic脚本。 FireEye已经发现了一些通过CVE-2017-0199漏洞下载并
通过sip劫持对恶意代码签名获得系统信任https://github.com/secretsquirrel/SigThief
白就是此文件在杀软的白名单中,不会被杀软查杀;黑就是我们的恶意代码,由自己编写。通常白黑共同组成木马的被控端,最大限度的逃避杀软查杀,增强抗杀能力,而且方便免杀处理。一般情况下白为exe(带有签名),黑为dll或者其他,当然黑可以分成多部分。
在了解了免杀的一些基础知识和 Metasploit 自带的一些免杀方式之后,我开始学习和研究市面上知名度比较高的免杀工具,从互联网上找到了大约 30 多个免杀工具,从中筛选出来了 21 个工具进行免杀测试和学习,耗时一个多月时间。
Octopus是基于python开发的一款可操作的C2服务器,可以通过HTTP/S控制Octopus powershell代理,其主要目的是要在任何红队行动之前使用,而不是开始与您的整个作战武库和基础设施接触,您可以在开始实际的红队行动之前先使用Octopus攻击目标并收集信息
已知exe文件:https://github.com/3gstudent/test/raw/master/putty.exe
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。所有话题标签:#Web安全 #漏洞复现 #工具使用 #权限提升#权限维持 #防护绕过 #内网安全 #实战案例#其他笔记 #资源分享 #MSF https://github.com/rapid7/metasploit-framework/pull/13
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM
