钓鱼隐藏--文件后缀&压缩文件&捆绑文件

最新推荐文章于 2024-06-25 20:58:10 发布
最新推荐文章于 2024-06-25 20:58:10 发布
阅读量557 收藏 2
点赞数 17
分类专栏: # 红队APT # 免杀对抗 文章标签: linux 运维 服务器 网络安全 安全 web安全 安全架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2303_80857229/article/details/139888812
版权

免责声明:本文仅做技术交流与学习...

目录

文件后缀-钓鱼伪装-RLO 

压缩文件-自解压-释放执行

捆绑文件-打包加载-释放执行

文件后缀-钓鱼伪装-RLO 

改后缀--伪装
w.exe
wgpj.exe    (要改的后缀反写)(jpg--->gpj)
 |            (光标移到要改的后缀的前边)(w和g中间)
 --右键-->插入unicode控制字符--->选择RLO模式
 --成功

 

压缩文件-自解压-释放执行

 

C:\Users\26255\Desktop
C:\Users\26255\Desktop\

C:\Users\26255\Desktop\
"C:\Users\26255\Desktop\y‮4pm.exe"
C:\Users\26255\Desktop\y‮4pm.exe

--提前准备好文件的路径,
注意:如果是不同的电脑的话,用户名和路径都不一样
--一旦运行,自动解压
--可配合后缀隐藏

 

 

 

 

 

 

---->生成exe,运行上线

图标等自己在压缩的时候替换. 

捆绑文件-打包加载-释放执行

 

不同的捆绑器效果不同,
(注意捆绑文件的路径)
文件捆绑器.exe         GG
MatryoshkaDollTool工具   --需要vs  IDE环境支持
...

 

金灰
关注
  • 17
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
红队APT——邮件钓鱼攻击Swaks&Office漏洞&RLO隐藏&压缩释放
m0_61506558的博客
03-05 845
该漏洞首次发现在2022年5月27日,由白俄罗斯的一个IP地址上传。恶意文档从Word远程模板功能从远程Web服务器检索HTML文件,通过ms-msdt MSProtocol URI 方法来执行恶意PowerShell代码。感染过程利用程序msdt.exe,该程序用于运行各种疑难解答程序包。此工具的恶意文档无需用户交互即可调用它。导致在宏被禁用的情况下,恶意文档依旧可以使用ms-msdt URI执行任意PowerShell代码。
文件钓鱼-后缀隐藏&文件捆绑&文件压缩释放技巧
告白的博客
11-19 587
2.杀毒软件也可能会监测文件释放过程: 捆绑器的免杀:腾讯管家杀文件捆绑器,不杀winwar压缩包,换新捆绑器,可以免杀通过腾讯管家 所以捆绑免杀的两个关注点:白名单逻辑捆绑器和木马的免杀。通过测试发现,普通文件rar进行压缩释放,安全软件不会报毒,但是如果是一些其他个人开发的捆绑压缩工具,安全软件会报毒,所以一般选用白名单的工具(不会报毒的捆绑工具)需要注意的是压缩释放后的exe顺序,将木马放在后面,点击释放运行后即可上线,但是缺陷在于,系统会提权询问释放安装运行等字眼,木马文件后缀隐藏,图标修改技巧。
钓鱼篇-利用RLO隐藏exe&文件捆绑&office免杀-远程模板加载上线CS
weixin_45701675的博客
11-26 1766
钓鱼篇-利用RLO隐藏exe&文件捆绑&office免杀-远程模板加载上线CS
RedTeam-钓鱼&文件名反转&office远程模板
qq_45434762的博客
11-28 1510
本文内容涉及程序/技术原理可能带有攻击性,仅用于安全研究和教学使用,务必在模拟环境下进行实验,请勿将其用于其他用途。因此造成的后果自行承担,如有违反国家法律则自行承担全部法律责任,与作者及...
【红队APT】钓鱼篇&Office-CVE漏洞&RLO隐藏&压缩包释放&免杀打包捆绑
今天是几号的博客
04-22 1338
影响:Windows 7/8/8.1/10,Windows Server 2008/2008R2/2012/2012R2/2016/2019/2022等各个主流版本。导致在宏被禁用的情况下,恶意文档依旧可以使用ms-msdt URI执行任意PowerShell代码。恶意文档从Word远程模板功能从远程Web服务器检索HTML文件,经过免杀后的exe程序(xgpj.exe),进行重命名,在gpl位置插入Unicode控制字符,RLO(从左到右覆盖),如图。6、取出文档执行测试。
钓鱼-捆绑木马文件
安于心,修于形
08-01 385
钓鱼 红队
非PE文件类型攻击小结
纸房子
08-22 1432
非PE攻击,包括hta、rundll32、powershell、office文档等方式攻击
钓鱼&文件名反转&office远程模板
qq_50854662的博客
05-29 1498
本文内容涉及程序/技术原理可能带有攻击性,仅用于安全研究和教学使用,务必在模拟环境下进行实验,请勿将其用于其他用途。因此造成的后果自行承担,如有违反国家法律则自行承担全部法律责任,与作者及分享者无关 0x01 件名反转 在渗透过程中,有时需要通过钓鱼来来传播一些木马文件,而这些木马文件需要精心的伪装。RLO即 Start Of Right-to-Left override。我们可以通过选择插入Unicode控制字符RLO来达到反转文件名的效果 以CobaltStrike生成的木马BypassA.
安全防御-----防病毒
windy_12138的博客
09-18 1753
关于病毒、蠕虫、木马的简要过程
BLUE - World's Safest & Simplest Wallet-crx插件
04-03
隐私政策:https://www.blueprotocol.com/privacy-policy/ •阻止您的浏览器访问网络钓鱼网站 •支持几乎每个ERC20令牌的发送和接收! •查看USD中的总投资组合 •自动燃气/税收计算 •防止您向恶意账户发送资金 ...
c++实现ftp list所有文件与目录 & ftp down所有文件
10-12
1.使用curl库实现ftp查询根目录下所有文件与目录,递归遍历所有目录并下载文件
Web高级知识-跨域&XSS;&CSRF;解决方案
11-26
IP协议主要解决网络路由和寻址问题,TCP协议主要解决如何在IP层之上可靠的传递数据包,使在网络上的另一端收到发端发出的所有包,并且顺序与发出顺序一致。TCP有可靠,面向连接的特点。 ...也就是说,打开一个服务器上...
050-钓鱼攻击中文件的几种姿势.pdf
09-20
"钓鱼攻击中文件的几种姿势" 本文档主要讲述了钓鱼攻击中文件的几种姿势,涉及到社交工程学、Office宏、CHM文档、漏洞利用等方面的知识点。 一、社交工程学 社交工程学是一种通过对受害者心理弱点、本能反应、...
免费linux服务器远程文件传输软件
10-26
免费linux服务器远程文件传输软件,就跟ftp一样方便,我自己也在用。 可以像操作本地文件一样修改linux文件夹权限,还有linux服务器文件的命令 ,可以远程连接linux服务器,登录远程服务器linux传输文件到本地
SUSE linux的快照和恢复
大龄IT民工
06-19 1344
openSUSE默认提供了通用场景下的快照设置,你也可以根据需要进行修改。
[Linux] 文件系统
WenBayBay的博客
06-19 535
etc/passwd存放的是用户账户信息,不是密码信息,它有7个字段。/etc/shadow存放的是用户密码信息,有九个字段。一般与系统有关的信息都存放在etc目录下。文件和目录的命名约束。
运维.Linux下执行定时任务(上:Cron简介与用法解析)
最新发布
jclee95的个人博客
06-25 1038
介绍Linux/Linux系统下,用于执行定时任务的Cron
LinuxC语言】网络编程中粘包问题
m0_62599305的博客
06-24 245
在进行网络编程时,我们经常会遇到一个非常常见但又往往被忽视的问题,那就是"粘包"问题。粘包是指在基于TCP/IP协议的数据传输过程中,由于TCP/IP协议是基于字节流的,这就可能会导致多个数据包被一起接收,从而形成"粘包"。这个问题在很多网络应用中都可能会出现,特别是在需要进行大量数据传输的应用中,如文件传输、视频流等。粘包是网络编程中一个需要重点关注的问题。虽然TCP/IP协议本身并没有提供解决粘包的机制,但我们可以通过在应用层增加数据包边界,或者使用固定长度的数据包等方法来避免粘包问题。
jeecj任意文件上传漏洞
12-13
HTTP协议中的任意文件上传漏洞是指攻击者可以通过构造恶意的文件上传请求,绕过服务器文件上传验证机制,成功向服务器上传恶意文件,进而实施攻击。 这类漏洞的存在主要是由于服务器端对于上传文件的合法性验证不严格或存在漏洞所导致的。攻击者可以通过修改上传请求的Header或请求参数等方式,绕过服务器端的文件上传验证,上传任意文件,如恶意脚本文件、后门文件等。 任意文件上传漏洞可能导致以下危害: 1. 执行恶意代码:攻击者可以上传包含恶意代码的可执行文件,通过执行恶意代码控制服务器,实施各种攻击行为。 2. 窃取敏感信息:攻击者可以上传用于窃取用户敏感信息的木马文件,如键盘记录器、密码获取器等,从而获取用户的账号、密码等敏感信息。 3. 传播恶意文件:攻击者可以上传恶意文件,通过链接或钓鱼等方式,向用户传播恶意代码,导致用户的个人隐私泄露、资金损失等。 4. 网站篡改:攻击者上传恶意文件,修改服务器端的配置文件或网页文件,改变网站内容、链接等,破坏网站的正常运行。 为了防止任意文件上传漏洞的出现,开发人员需要加强对于上传文件的合法性验证。具体的防护措施包括: 1. 对上传文件进行类型、大小等基本验证。通过限制上传文件的类型和大小,防止上传恶意文件。 2. 对上传文件进行重命名和路径转换。通过将上传文件重命名并转换存储路径,避免攻击者直接访问上传文件。 3. 对上传文件进行杀毒检测。通过使用杀毒软件对上传文件进行扫描,防止上传带有病毒的文件。 4. 针对不同的文件类型进行不同的验证。对于图片文件、文本文件等可信的文件类型,可以进行较少的验证,而对于可执行文件、脚本文件等危险的文件类型,需要进行更加严格的验证。 综上所述,任意文件上传漏洞是一种常见的安全漏洞,攻击者可以通过上传恶意文件,实施各种攻击行为。为了防止此类漏洞的出现,开发人员需要加强对于上传文件的验证和过滤,确保服务器安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

金灰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值