在前几章中,我们知道了攻击者可以使用XSS提取用户信息凭证,然而,它的威力可不止于此,只要稍加一些社会工程学,攻击者就可以使用XSS来欺骗用户下载执行恶意文件,从而进一步控制主机和内网。
thr0cyte,Gr33k,花花,MrTools,R1ght0us,7089bAt
高级持续性威胁(APT,Advanced Persistent Threat)对蓝队来说是一项重大挑战,因为攻击者会长时间应用各种攻击,阻碍事件关联和检测。 在这项工作中利用各种不同的攻击场景来评估终端检测与响应系统(EDR,Endpoint Detection and Response)和其他安全解决方案在检测和预防 APT 方面的功效。 结果表明,由于最先进的终端安全系统无法预防和记录这项工作中报告的大部分攻击,因此仍有很大的改进空间。 此外,还讨论了篡改 EDR 遥测提供者的方法,从而允许攻击者进行更隐蔽的攻击。
--------------------转载自freebuf 微软的11月份的安全补丁包含了一个隐藏17年之久的Office远程代码执行漏洞(CVE-2017-11882),该漏洞影响目前所有流行的O
在渗透过程中,通常会需要向目标主机传送一些文件,来达到权限提升、权限维持等目的,本篇文章主要介绍一些windows和Linux下常用的文件下载方式。
从参考文章1里发现有三种方法:HTMLRunExe 工具、hta文件、nwjs工具。 我只尝试过其中的 hta 和 nwjs,并且最终采用了nwjs工具。所以此处只比较下这两种方法。
研究人员认为,该活动的幕后黑手是 CoralRaider。该组织曾发起过多次窃取凭证、财务数据和社交媒体账户的攻击活动。此外该黑客还提供 LummaC2、Rhadamanthys 和 Cryptbot 信息窃取程序,这些信息窃取程序可在恶意软件即服务平台的地下论坛上获得,但需要支付订阅费。
勒索软件几乎每周都会增加新的“家族成员”,这类威胁的影响力不断上升。Emsisoft(奥地利的信息安全公司,主营业务有反恶意软件、互联网安全、应急响应、移动安全等)的研究员致力于发现与分析新型威胁,对于这个名为Spora的勒索软件也不例外。2017年1月10日该勒索软件首次在ID-Ransomware上被发现,因其特有的功能以及高水准的技术与展示界面引起了我们的注意。本文不但会介绍Spora的内部工作原理,还将介绍其索取赎金的现代化商业模式。 走近Spora Spora由C语言编写而成并使用UPX可执行
今天,我们将学习有关HTA攻击的不同方法。HTA是有用且重要的攻击,因为它可以绕过应用程序白名单。在上一篇文章中,我们讨论了“ Windows Applocker策略-入门指南 ”,因为它们定义了应用程序控制策略的AppLocker规则以及如何使用它们。但是今天,您将学习如何使用mshta.exe绕过Applocker策略。
传统的恶意软件(例如.exe)攻击感染一个系统之前会把恶意文件(例如exe)复制到目标磁盘中并修改注册表并连接到此文件来达到一个长期隐藏的目的,无文件落地攻击是指即不向磁盘写入可执行文件,而是以脚本形式存在计算机中的注册表子项目中,以此来躲避杀软的检测,那么绕过了传统防病毒(AV)寻找被保存到磁盘上的文件并扫描这些文件以确定它们是否恶意的查杀方法。
HTA简介:HTA是HTML Application的缩写(HTML应用程序),是软件开发的新概念,直接将HTML保存成HTA的格式,就是一个独立的应用软件,与VB、C++等程序语言所设计的软件没什么差别。 下面是一个HTA的例子:
很长一段时间以来,HTA文件一直被web攻击或在野恶意软件下载程序用作恶意程序的一部分。HTA文件在网络安全领域内广为人知,从红队和蓝队的角度来看,它是绕过应用程序白名单有价值的“古老”方式之一。运行Microsoft HTML应用程序主机的Mshta.exe,Windows OS实用程序负责运行HTA(HTML应用程序)文件。我们可以运行JavaScript或Visual的HTML文件。您可以使用Microsoft MSHTA.exe工具解析这些文件。
当我们通过Web渗透获取了一个Shell,而且目标主机是Windows,我们该怎么去下载后门文件到目标主机上执行呢?
Evi1cg同学前不久放出CVE-2017-11882的一个 python利用脚本,地址在https://github.com/Ridter/CVE-2017-11882/,不过其中一个版本里边有一个限制,执行命令只能用43个字节。如果要用43个字节来完成一个文件的下载执行,在我所掌握的命令行知识里,除了mshta命令,其它的好像都做不到。所以在这里我就浅谈一下如何构造这个mshta命令,另外提一下hta文件在安全方面的一个应用。 mshta.exe是微软Windows操作系统相关程序,用于执行.HTA文件
当目标点开美图(恶意LNK快捷方式文件:confidential.jpg.lnk),使目标认为他正在打开图像(confidential.jpg),HTA dropper 隐藏在快捷方式文件中。LNK将执行HTA,HTA将依次执行并删除的DLL payload,并且用诱饵图片替换快捷方式(confidential.jpg)。过程如下:
这是一个可以让黑客欣喜若狂的新漏洞,一旦该漏洞被激活,就会有大量计算机成为黑客手中的肉鸡,被人远程控制不可避免……
ScareCrow是一款功能强大的Payload创建框架,可以帮助广大研究人员生成用于向合法Windows金册灰姑娘中注入内容的加载器,以绕过应用程序白名单控制。当DLL加载器加载进内存中之后,将会使用一种技术来将EDR钩子从正在进程内存中运行的系统DLL中清理掉,这是因为我们知道EDR的钩子是在这些进程被生成时设置的。ScareCrow可以通过使用API函数VirtualProtect来在内存中对这些DLL进行操作,该函数可以将进程的内存权限的一部分更改为不同的值,特别是将Execute-Read修改为Read-Write-Execute。
我去前面探探路 众所周知,Powershell早已被集成到了windows的环境中,国外大牛玩得不亦乐乎,而国内圈子却很少听到讨论Powershell的,至少我身边只有一位小伙伴一起研究,HTA更不用说了,不是学计算机的或许根本不知道这是什么鬼,当然也包括那些当年计算机基础翘课的…… 男女搭配干活不累; 我爸揍我、我妈踹我,混合双打; 两王在手,拆开出、当炸弹打,怕了么; 每每两强相遇,怪怪的灵感就来了; 6级惹!看我QWER滚键盘式组合技!啪!啪!啪! 金角大王 Powershell Linu
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/171423.html原文链接:https://javaforall.cn
HTA是指HTML Application,它是一种基于HTML和JavaScript的Windows应用程序格式。HTA文件扩展名为".hta",在Windows系统中可以像其他可执行文件一样运行。HTA文件使用Internet Explorer作为其渲染引擎并具有访问本地计算机资源的权限,因此可以执行许多强大的操作,包括读写本地文件、调用系统命令等。由于这些功能,HTA文件也可能被恶意软件利用进行攻击。
点燃灵感 星之海洋 不知大家是否见过浏览器窗口(哎呦,不要打我!),其实,不要小瞧了这普普通通的windows,除了常用的window.open()与window.resizeTo()方法来开启窗口外,仔细挖掘,你还能找到许多奥秘在里头,下面就跟着我一起来探索探索吧~~let's go! 一、继续解剖window.open() 说明:如无特别说明,以下红色标注的代码就是关键代码 1、弹启一个全屏窗口 window.open('http://www.fwcn.com','example01','fullscreen')
最新 Office 的 CVE-2017-11882,完美无弹窗,无视宏,影响 office 全版本。利用触发器 WebClient 服务从攻击者控制的 WebDav 服务器启动和执行远程文件。该脚本使用多个 OLE 对象创建简单的文档。这些对象利用 CVE-2017-11882,从而导致连续命令执行。
最近,TechHelpList将一个用于传播Hancitor恶意软件的Word文档上传到了VirusBay,并概述了与之相关的站点、C2服务器以及由该文档所释放的payload。由于Hancitor通常被用于下载Pony和ZeusPanda恶意软件,因此我决定对这个文档进行分析,以了解程序流程和功能。
在“自解压选项”的“设置”中,设置“提取后运行”为:jshaman.hta,即刚刚创新建的hta文件。
HTA是HTML Application的缩写,本⽂介绍HTA在内⽹渗透中的⼏种运⽤。
最近360核心安全事业部高级威胁应对团队在全球范围内率先监控到了一例使用0day漏洞的APT攻击,捕获到了全球首例利用浏览器0day漏洞的新型Office文档攻击,我们将该漏洞命名为“双杀”漏洞。该漏洞影响最新版本的IE浏览器及使用了IE内核的应用程序。用户在浏览网页或打开Office文档时都可能中招,最终被黑客植入后门木马完全控制电脑。
Zscaler 的研究人员发现暗网上正在出售名为 Quantum Builder 的构建工具,该工具可以投递 .NET 远控木马 Agent Tesla。与过去的攻击行动相比,本次攻击转向使用 LNK 文件。
2023年11月,知道创宇404高级威胁情报团队成功捕获到海莲花组织最新的攻击样本。该样本以购买BMW汽车为主题,诱导攻击目标执行恶意文件。与此同时,该攻击与今年APT29的诱导主题和木马加载流程有相似之处,初步分析表明这可能是攻击者故意模仿的结果。
网络安全研究人员发现从2019年以来正在进行的针对印度国防部门和武装人员的网络间谍活动的新证据,目的是窃取敏感信息。
一、 基本变化 <SCRIPT LANGUAGE="javascript"> </SCRIPT> 参数解释: window.open 弹出新窗口的命令; 'page.html' 弹出窗口的文件名; 'newwindow' 弹出窗口的名字(不是文件名),非必须,可用空''代替; 100 窗口高度; width=400 窗口宽度; top=0 窗口距离屏幕上方的象素值; left=0 窗口距离屏幕左侧的象素值; toolbar=no 是否显示工具栏,yes为显示; menubar,scrollbars 表示菜单栏和滚动栏。 resizable=no 是否允许改变窗口大小,yes为允许; location=no 是否显示地址栏,yes为允许; status=no 是否显示状态栏内的信息(通常是文件已经打开),yes为允许; 二、 弹启一个全屏窗口 加入fullscreen <SCRIPT LANGUAGE="javascript"> </SCRIPT> 三、 打开一个和按F11所见到的一样的窗口 加入channelmode <SCRIPT LANGUAGE="javascript"> </SCRIPT> 四、 打开一个连标题栏都没有的窗口(无标题、最小、最大、以及关闭按钮) <HTML><HEAD> <META http-equiv=Content-Type content="text/html; charset=gb2312"> <script language="javascript"> function unload() { var popUpSizeX=200; //窗口的宽度 var popUpSizeY=166; //窗口的高度 var popUpLocationX=2;//距离左边的距离 相当于 left var popUpLocationY=2;//距离顶端的距离 相当于 top // URL of the popUp var popUpURL="http://www.33d9.com/default.asp";; //打开页面的路径 // ** 下面的就不要随便改了 *** splashWin = window.open("",'x','fullscreen=1, ,scrollbars=auto,resizable=1'); splashWin.blur(); // Hide while updating window.focus(); splashWin.resizeTo(popUpSizeX,popUpSizeY); splashWin.moveTo(popUpLocationX,popUpLocationY); splashWin.location=popUpURL; } // END unload(); </script> </HEAD> <BODY></BODY></HTML> 看看,什么效果? 如果把resizable 设为0 scrollbars = no 呢? 五、 没有最大化按纽的窗口 其实也就是象软件的“关于我们”的那个窗口一样,下面就是用对话框窗口来实现它。 showModalDialog()以及showModelessDialog() 1.用showModalDialog() <html> <SCRIPT LANGUAGE="javascript"> </SCRIPT> http://w
前言 近期,FireEye检测到了一种利用漏洞CVE-2017-0199的恶意OfficeRTF文档——本周早前FreeBuf也报道了这一漏洞,在无需启用Word宏的情况下,打开恶意RFT文档就可感染恶意程序。当用户打开嵌入了漏洞利用代码的恶意文档之后,这个漏洞将允许攻击者在目标设备中下载并执行一个包含PowerShell命令的Visual Basic脚本,而FireEye所发现的这个恶意Office文档正是利用了漏洞CVE-2017-0199来在受感染设备上下载并执行恶意Payload。 目前,Fir
Cobalt Strike是一款渗透测试神器,常被业界人称为CS神器。Cobalt Strike已经不再使用MSF而是作为单独的平台使用,它分为客户端与服务端,服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。 Cobalt Strike集成了端口转发、扫描多模式端口Listener、Windows exe程序生成、Windows dll动态链接库生成、java程序生成、office宏代码生成,包括站点克隆获取浏览器的相关信息等。
原文链接:https://mp.weixin.qq.com/s/OdCrUOsVAscqOjWaq2w8hQ
漏洞概述 FireEye最近公布了一个OFFICE 0day,在无需用户交互的情况下,打开word文档就可以通过hta脚本执行任意代码。经过研究发现,此漏洞的成因主要是word在处理内嵌OLE2LI
横向移动是从一个受感染的宿主移动到另一个宿主的过程。渗透测试人员和红队人员通常通过执行 powershell.exe 在远程主机上运行 base64 编码命令来完成此操作,这将返回一个信标。问题在于攻击性 PowerShell 不再是一个新概念,即使是中等成熟的商店也会检测到它并迅速关闭它,或者任何半体面的 AV 产品都会在运行恶意命令之前将其杀死。横向移动的困难在于具有良好的操作安全性 (OpSec),这意味着生成尽可能少的日志,或者生成看起来正常的日志,即隐藏在视线范围内以避免被发现。这篇博文的目的不仅是展示技术,但要显示幕后发生的事情以及与之相关的任何高级指标。我将在这篇文章中引用一些 Cobalt Strike 语法,因为它是我们主要用于 C2 的语法,但是 Cobalt Strike 的内置横向移动技术是相当嘈杂,对 OpSec 不太友好。另外,我知道不是每个人都有 Cobalt Strike,所以在大多数示例中也引用了 Meterpreter,但这些技术是通用的。
在了解了免杀的一些基础知识和 Metasploit 自带的一些免杀方式之后,我开始学习和研究市面上知名度比较高的免杀工具,从互联网上找到了大约 30 多个免杀工具,从中筛选出来了 21 个工具进行免杀测试和学习,耗时一个多月时间。
通过sip劫持对恶意代码签名获得系统信任https://github.com/secretsquirrel/SigThief
响尾蛇(又称SideWinder,T-APT-04)是一个背景可能来源于印度的 APT 组织,该组织此前已对巴基斯坦和东南亚各国发起过多次攻击, 该组织以窃取政府, 能源, 军事, 矿产等领域的机密信息为主要目的。
CVE-2017-0199:Microsoft Office RTF 漏洞利用指南 From ChaMd5安全团队核心成员 zusheng 一、介绍 FireEye最近检测到利用CVE-2017-0199安全漏洞的恶意Microsoft Office RTF文档,要知道CVE-2017-0199可是此前尚未公开的漏洞。当用户打开包含该漏洞利用代码的文档时,恶意代码就会下载并执行包含PowerShell命令的Visual Basic脚本。 FireEye已经发现了一些通过CVE-2017-0199漏洞下载并
CVE-2017-8759 是前几天出的 0 DAY ,搜了下,国内几乎没有人复现,这个洞总体来说,危害很大,而且比CVE-2017-0199 更难防御。 漏洞成因分析: 360:一个换行符引发的奥斯卡0day漏洞(CVE-2017-8759)重现:最新的Office高级威胁攻击预警 (点击阅读原文查看链接) FireEye:FireEye Uncovers CVE-2017-8759: Zero-Day Used in the Wild to Distribute FINSPY (点击阅读原文查看链接)
注:通过任务管理器查看CPU较高使用率和多个PowerShell.exe进程,能初步判断机器中了此木马,查看其计划任务有随机名,调用PwoerShell确定木马病毒存在。
响尾蛇(SideWinder)组织是据称具有南亚背景的APT团伙,其主要针对周边国家政府机构等重要组织开展攻击活动,窃取敏感信息。
取决于Windows系统的版本,通过HTTP下载的文件缓存位置为IE的本地缓存,在下面的路径之一:
这篇文章来自@Sin好友投稿,和我之前写的"记一次从Jboss到3389远程桌面案例"是一个目标,但我只是记录了遇到的问题,他写的更全一些,不过也不完整。
复制以下ruby代码到/usr/share/metasploit-framework/modules/exploits/windows/smb/msh_shell.rb目录(要注意代码缩进哦):
白就是此文件在杀软的白名单中,不会被杀软查杀;黑就是我们的恶意代码,由自己编写。通常白黑共同组成木马的被控端,最大限度的逃避杀软查杀,增强抗杀能力,而且方便免杀处理。一般情况下白为exe(带有签名),黑为dll或者其他,当然黑可以分成多部分。
Octopus是基于python3的开源项目,可进行操作的C2服务器,可以通过HTTP / S控制Octopus powershell代理。
之前一直使用的hta在开发工具,最近转到node-webkit上了,对比一下二者的优劣势。hta单个文件,体积较小,但有兼容性的问题(兼容ie6、7、8就行了,也还好),node-webkit使用webkit内核,可以直接使用html5、css3的相关特性,比如圆角、渐变等,比较方便,界面炫一些,但在windows下最大的问题就是体积较大。
开发的游戏项目,需要一个工具,对指定的资源进行复制、加密,然后打包。之前打包时都手工操作,复制与加密这二步分别写了几个工具(lua加密与图片资源加密是分开的),后来感觉bat操作路径特别麻烦,所以我改用了hta写了一个界面,让使用者可以输入版本号,控制台上显示程序运行状态…
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
对象存储
云直播
