⼀个简单的VB脚本 HTA⽂件可以解析javascript和VB,因此在内⽹中可以⽤来绕过杀软或是实现邮件钓⻥。 <! 双击时,会弹出hta⽂件的框,有时候为了避免弹出这个框,可以在hta⽂件中添加样式: <HTA:APPLICATION icon="#" WINDOWSTATE="minimize" SHOWINTASKBAR 利⽤metasploit⽣成⼀个hta⽂件 ? 0x02 对HTA的⽂件的隐藏 由于MSHTA对不同后缀的hta⽂件处理有所差异,我们可以通过修改后缀名的⽅式来进⼀步隐藏我们的脚本。第⼀种常⻅的⽅式是将 .hta 修改为 .html 。 calc2.exe calc2.exe # 正常运⾏计算机程序 mshta %cd%\calc2.exe # 执⾏的是HTA脚本 这样,我们可以在exe中绑定⼀个hta⽂件。
HTA简介:HTA是HTML Application的缩写(HTML应用程序),是软件开发的新概念,直接将HTML保存成HTA的格式,就是一个独立的应用软件,与VB、C++等程序语言所设计的软件没什么差别 > HTML应用程序 </body> </html> 把上面的代码复制到任意文本编辑器中,然后保存为*.hta,直接双击就可以看到效果啦!! 从上面的代码可以看出来,HTA与普通的网页结构差不多,所以设计出来很容易,当然HTA还有许多自己独特的属性,下面我们来看看这个文件: 1、 HTA对语法的要求比HTML还要松,甚至连<html> —example2.hta? 送别 王维 下马引君酒,问君何所之。 …… 注意:上面就是整个HTA文件的全部代码,运行看看,是不是很爽啊?? 如需转载,请注明文章来源。
HTML应用程序
Vite学习指南,基于腾讯云Webify部署项目。
所以在这里我就浅谈一下如何构造这个mshta命令,另外提一下hta文件在安全方面的一个应用。 mshta.exe是微软Windows操作系统相关程序,用于执行.HTA文件。 mshta执行.hta文件,是以当前用户权限执行,hta文件可以随便改后缀,也可以本地或远程执行,本地执行的时候,要记得带全路径名,否则会出错。 一、HTA文件 内嵌的html文件如何去除本地安全认证呢? 这样就不会弹阻止框了,可以干坏事了,1.hta代码如下: ? 二、如何写一个高效的下载执行过杀软的hta文件? 如果是下载执行的话,哪就很弱了。 hta文件里可以自由地写vbscript代码,所以我们的思路是可以把你的木马转换成base64格式也好,转换成16进制也好再转回来,hta只是访问了一个网页而已,但是已经把木马转到本地了,具体代码1.hta
HTA是HTML-Application的缩写,是软件开发的新概念,直接将某个html页面保存成hta的格式,就是一个独立的应用软件,点开与网页内容并无区别,界面与VB、C++等程序语言所设计的软件界面没什么差别 答对了,确实类似于钓鱼,但是得补充一下,HTA虽然用HTML、JS和CSS编写,却比普通网页权限大得多,不但窗口界面跟其他软件相同,同时它也相应的具有类似于VB、C++编写的桌面程序的相同权限(读写文件 HTA本来就是被设计为制作桌面程序的,所以能直接调用其他组件执行命令。 :P 确实,一个hta后缀的文件,见都没见过呢,图标还是个执行文件,打开显示一个白板,十分可疑……!辣摸……这时候就要靠猴子派来的救兵辣! So,问题来了,你知道Unicode控制符么…… Unicode控制符:控制文字显示属性,实现类似倒序显示等属性设定。而这个特点,在文件名中同样适用!
hta在打开的时候,有时候会被杀毒软件拦截而不给执行,更重要的一点是通常都可以右击查看源代码,里面如果涉及到域名或者其它的一些细节就很容易被其它人了解。 网络上有一些hta转exe的,类似的软件基本上都是国外的,而且要付费,从一些乱七八糟的地方下载过“破解版”的用了一下,不是很好用,对hta支持比较差,对vbs可能会好很多,既然不好用那就只好自己动手了 很简单,主要的实现过程是:将hta作为资源添加至项目中,exe启动后读取资源文件,并写入本地磁盘,然后调用mshta命令启动hta,当hta被关闭时删除该文件。 读取资源 --> 写文件 --> 执行文件 --> 删除文件 { Application.EnableVisualStyles(); Application.SetCompatibleTextRenderingDefault strHtaPath); } //MessageBox.Show("hahaniu"); //Application.Run(); } exe的话就可以很方便的设定图标了,如果hta
选择由文件创建,输入web服务器上1.rtf的URL,一定要选上“链接到文件”: ? 这时候会生成一个有test789文字内嵌对象的文档,这是双击该对象只能以rtf文件方式打开对象,并不能执行hta脚本。 此时在apache配置文件conf/mime.types中把 application/rtf rtf 修改成: application/hta 再双击对象,此时虽然访问的还是1.rtf文件,但是服务器的Content-type会返回application/hta,而word就以hta脚本的方式打开文件: ? 这里就需要把文件保存成rtf格式: ? 用文本编辑器打开刚保存的rtf文件,找到object标签所在的地方: ?
如果以外显子为单位看表达差异 反正都是表达矩阵,以外显子为单位和基因为单位,理论是差不多啦,没有根据注释文件映射到基因名字之前,都是一个ID而已。 关于EASANA 其实EASANA是商业软件genosplice的一个可视化功能而已,上面的示意图比较好的介绍了HTA芯片的基因的多个探针的表达量差异情况。 实际上affymetrix公司自己有TAC软件 比如有一些文章里面就会明确写出来,采用的是affymetrix公司出品的软件 TAC进行处理。 TAC软件 可以看到这个软件有一个探索可变剪切的模块,而且这个也的确是大量使用了HTA芯片的文章写作落脚点。 另外一个商业软件partek也很流行 partek这个软件应该是在海外非常流行,我看到不少文献提到了partek,甚至跟affymetrix公司出品的软件 TAC差不多的使用频率。 ?
复制 /root/.msf4/local/目录中的 msf.rtf 文件到目标主机上使用word文档打开 或者IE浏览器打开 http://192.168.0.116:8080 即可获得会话 自定义下载者 复现 利用 mshta 从远程服务器下载文件执行。 1.构造HTA文件,当访问hta文件就会触发powershell下载文件至临时目录执行 准备你的xx.exe文件上传至站点目录,假如得到地址 http://xxx.com/xxx.exe ? 把 8174poc.html 文件上传至站点目录 假如得到地址 http://xxx.lr3800.com/8174poc.html 3.生成Word文档 下载python脚本保存本地 git clone 得到目录中的 “exp.rtf ”文件,使用Word文档打开即可下载执行xx.exe文件,或者IE浏览器打开 http://xxx.lr3800.com/8174poc.html 即可下载执行xx.exe
help: {yes | no | 1 | 0 } 指定对话框窗口中是否显示上下文敏感的帮助图标。默认值是“yes”。 ,翻译过来就是HTML应用程序,你只要简单的用.hta为扩展名保存HTML页面就算创建了一个HTA文件,下面我们就用HTA来编个窗口,将以下这段代码保存为.hta文件,然后再用浏览器打开,会发现什么? 其实写这篇文章,只是想起到一个抛砖引玉的作用,更多的内容还需要你们继续去实验去研究,如果“淘”到了什么好东西,可别忘记公布出来哦。 注:本文部分资料来自msdn 本文由来源 21aspnet,由 javajgs_com 整理编辑,其版权均为 21aspnet 所有,文章内容系作者个人观点,不代表 Java架构师必看 对观点赞同或支持 如需转载,请注明文章来源。
方式一:引诱目标点开“美图” 当目标点开美图(恶意LNK快捷方式文件:confidential.jpg.lnk),使目标认为他正在打开图像(confidential.jpg),HTA dropper 隐藏在快捷方式文件中 -G是指生成hta文件 ? 3.同样用macro_pack生成另外一个经过混淆的HTA payload,他将完成替换删除.lnk的功能。当我们将其放置于恶意LNK在同一文件夹下。 如果你此时双击pic.hta,会生成wuyifan.jpg,但是此时pic.hta没有自删除 4.整合上述的两步形成一个自删除的HTA文件:打开pic.hta将AutoOpen函数名修改为AutoOpen2 模式,不能像上述方法与hta文件组合。
通过沙箱可发现,该样本是lnk文件,运行后将从远程下载hta文件执行 ? 可惜的是远程连接已经404了,没法继续分析后续。通过anyrun直接找样本分析的路子断了,再次尝试从VT获取一些样本信息。 进入anyrun可见该样本是一个hta文件,且其标题与lnk文件相同,且其网络行为中的域名也与lnk文件后续域名相同。因此可判定该样本即为lnk文件后续 ? Hta文件内容如下 ? 该hta主要功能为解密加载一个.netdll. ? ? 解密出dll后,获取杀软信息 ? 加载dll,传入四个参数,分别是后续hta地址,传杀软信息的ur+杀软信息,诱饵pdf的内容,诱饵pdf的文件名 ? 之后该dll将释放诱饵文件,诱饵内容与巴基斯坦军队抗击疫情相关 ? ‘将再次从远程下载一个hta文件执行,但该链接目前又失效了,继续anyrun大法下载。 ? 下载回来的hta与之前的类似,仍是解密加载一个dll文件。加载后调用dll的work函数 ?
文章源自【字节脉搏社区】-字节脉搏实验室 作者-purplet 介绍前提:hta文件其实也是一种类似exe的可执行文件,里面的内容是html代码 设置监听就不重复了 ? ? 攻击操作,生成hta文件 ? ? 这里选择Powershell相当于一种超级CMD,去执行 生成完文件后我们将hta文件上传到CS的服务端去 ? ? 使用cs自带的服务器Host File,我们把刚刚的hta文件上传上去 注意:这里选择的hta木马文件不用向服务器传,在使用host file时cs会自动把这个文件放到服务器,在CS目录下的uploads 文件夹中 ? 这样就挂到CS自己的服务器上了,回到我们的kali服务器上可以看到在uploads文件夹下 ? ?
既然能够实现弹出,那我们可以构造执行 powershell 直接获取 msf 会话 深入利用 在利用前,先了解一下 hta,hta 文件使用 HTML 格式,它的程序码可以像 HTML 一样被编辑和检查 在 hta 文件中 VBScript 和 JavaScript 的程序码可以任意混合。HTA 虽然用 HTML、JS 和 CSS 编写,却比普通网页权限大得多。 它具有桌面程序的所有权限(读写文件、操作注册表等)。hta 本来就是被设计为桌面程序的。 1、利用 msf 生成利用的 powershell 脚本 ? ? mshta 去执行链接中的 hta 嵌套的 VBS 代码,从而执行 powershell 命令,随便用一个浏览器打开链接,就可以下载到 test.hta,文件内容如下: ? 由于办公文档是常用的,人们在查看 doc 等文档文件时不会过多注意。但当 Office 办公软件存在漏洞时,就会成为黑客的工具。
攻击者向目标用户发送一个嵌入了OLE2文件(对象链接)的Word文档。 2. 当用户打开文档之后,winword.exe会向远程服务器发送一个HTTP请求,并获取一个恶意HTA文件。 3. Winword.exe会通过一个COM对象来查询HTA文件处理器,而这一行为将会使微软HTA应用(mshta.exe)加载并执行恶意脚本。 首先,一个嵌入在文档中的OLE2链接对象会让winword.exe访问下面这个URL地址,并下载第一阶段所需要的恶意HTA文件: http[:]//46.102.152[.]129/template.doc 下载完成之后,“application/hta”处理器会对恶意HTA文件进行处理。 首先,它会访问下面这个地址来下载第一阶段所需使用的恶意HTA文件: http[:]//95.141.38[.]110/mo/dnr/tmp/template.doc 这个文件会下载到用户的临时网络文件目录内
location=no, status=no') //写成一行 --> </SCRIPT> 参数解释: window.open 弹出新窗口的命令; 'page.html' 弹出窗口的文件名 ; 'newwindow' 弹出窗口的名字(不是文件名),非必须,可用空''代替; 100 窗口高度; width=400 窗口宽度; top=0 窗口距离屏幕上方的象素值; left resizable=no 是否允许改变窗口大小,yes为允许; location=no 是否显示地址栏,yes为允许; status=no 是否显示状态栏内的信息(通常是文件已经打开),yes为允许 九、 比较灵活的HTA窗口 我简单介绍一下,HTA的全名为HTML Application,翻译过来就是HTML应用程序,你只要简单的用.hta为扩展名保存HTML页面就算创建了一个HTA文件,下面我们就用 HTA来编个窗口,将以下这段代码保存为.hta文件,然后再用浏览器打开,会发现什么?
360核心安全高级威胁应对团队在蜜罐中捕获到的攻击实例 该漏洞所利用的是微软Office程序的一个名为“EQNEDT32.EXE”的组件。 公式编辑器 当用户打开被黑客精心设计过的恶意文档时,文档代码会在无需用户手动启动公式编辑器的情况下自动触发漏洞。 下图就是因漏洞触发而被加载的hta程序的内容。 ? 攻击者同样是利用漏洞执行服务器上的hta程序,地址为hxxp://210.245.***.178/23.hta。 ? 远控木马接收控制端发送的指令 由于办公文档不是可执行程序,人们在查看doc等文档文件时会放心打开。但是当Office办公软件存在漏洞时,原本“无毒无害”的文档也会成为黑客的致命武器。
从参考文章1里发现有三种方法:HTMLRunExe 工具、hta文件、nwjs工具。 我只尝试过其中的 hta 和 nwjs,并且最终采用了nwjs工具。所以此处只比较下这两种方法。 1 转成hta文档 hta,是html applilcation的缩写。翻译过来就是html应用程序。 实现方式也很简单。 新建一个文本文档,重命名为hta后缀名,比如 test.hta; 然后用文本编辑器在里面编写一个iframe标签,把我们的目标网页地址带入到其src属性中; <iframe src="你的网页地址" style 打开hta文件的窗口界面 优点:实现简单。 缺点:不兼容h5、css3,而且JavaScript脚本也很容易出问题。 参考文章: 让HTML网页变成一个exe执行程序(node-webkit或HTMLRunExe或hta) NW.js构建桌面应用
主要的样本形式有两类,第一类为带有CVE-2017-11882漏洞的RTF(富文本)文件;另一类为使用mshta.exe执行远程hta脚本的LNK文件。 hta脚本 LinkZip.dll被传入四个参数 参数1-下一段hta文件的URL地址 参数2-上传杀软信息的URL地址 参数3-base64和Gzip加密后的诱饵文档数据 参数 图片10-执行第二段hta脚本并反馈异常信息 第二阶段hta脚本同样是解密后内存加载.Net文件StInstaller.dll 图片11-第二阶段hta脚本 StInstaller.dll被传入了三个参数 图片17-模仿孟加拉国代购商协会进行攻击 该属于RTF类型的样本,主要是利用嵌入的ole对象释放1.a文件 图片18-1.a文件 1.a文件类似于上文介绍Lnk载荷中提到的第二阶段hta文件,其在内存中解密 图片22-远程模板内置的自动更新超链接域 该超链接更新域指向一个hta文件,hta文件的解密算法与上文提到的类似。 不过值得注意的是,该hta文件的异或解密秘钥是从网站上获取的。
主要的样本形式有两类,第一类为带有CVE-2017-11882漏洞的RTF(富文本)文件;另一类为使用mshta.exe执行远程hta脚本的LNK文件。 图片7-lnk载荷的参数 所请求的远程hta文件,该组织以自写的解密算法取代了之前的硬编码,不过核心与上一篇文章我们所描述的一样,在内存加载.Net的dll文件LinkZip.dll ? 图片10-执行第二段hta脚本并反馈异常信息 第二阶段hta脚本同样是解密后内存加载.Net文件StInstaller.dll ? 图片18-1.a文件 1.a文件类似于上文介绍Lnk载荷中提到的第二阶段hta文件,其在内存中解密StInstaller.dll并释放白加黑组合,后续的白加黑组合也和上文类似,这里不再赘述。 ? 图片22-远程模板内置的自动更新超链接域 该超链接更新域指向一个hta文件,hta文件的解密算法与上文提到的类似。 不过值得注意的是,该hta文件的异或解密秘钥是从网站上获取的。
攻击锁定 利用Microsoft公式编辑器缺陷 该攻击活动的起点是带有嵌入式恶意附件的电子邮件(以包含LNK文件或Microsoft Word文档的ZIP文件的形式),该电子邮件通过一系列下载最终以有效负载的形式来触发感染链 一旦打开,LNK文件就会滥用“ mshta.exe ”来执行在欺诈性网站上托管的恶意HTA(Microsoft HTML应用程序的缩写)文件,而HTA文件是使用称为CACTUSTORCH的开源有效负载生成工具 多阶段恶意软件分发过程 第一阶段的HTA文件包含诱饵文档和执行该文档并下载第二阶段的HTA文件的恶意.NET模块,第二阶段的HTA文件又会在复制Microsoft的凭据还原和恢复实用程序之前检查是否存在流行的防病毒解决方案 (“ credwiz.exe“)到受害者计算机上的其他文件夹,并修改注册表以在每次启动时运行复制的可执行文件。 因此,执行该文件时,不仅会侧加载恶意的“ DUser.dll”文件,还会启动RAT模块“ winms.exe”,这两个文件均从第二阶段HTA获得。
文件存储(Cloud File Storage,CFS)为您提供安全可靠、可扩展的共享文件存储服务。CFS 可与腾讯云服务器、容器服务、批量计算等服务搭配使用,为多个计算节点提供容量和性能可弹性扩展的高性能共享存储。腾讯云 CFS 的管理界面简单、易使用,可实现对现有应用的无缝集;按实际用量付费,为您节约成本,简化 IT 运维工作。
扫码关注云+社区
领取腾讯云代金券
云服务器
测试服务 WeTest
云数据库 PostgreSQL
文件存储
SSL 证书