推荐开源项目:Demiguise - 高级HTML应用加密工具

最新推荐文章于 2024-06-03 09:35:10 发布
最新推荐文章于 2024-06-03 09:35:10 发布
阅读量390 收藏 6
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00041/article/details/138838995
版权

推荐开源项目:Demiguise - 高级HTML应用加密工具

在网络安全的领域中,绕过安全设备的检查并实现有效载荷的传递是一项挑战。Demiguise是NCC Group Plc推出的一款开源工具,专为解决这一问题而设计。它能将HTA(HTML应用程序)文件加密并嵌入到一个普通的HTML文件中,使得HTA的内容在传输过程中保持隐匿。

项目简介

Demiguise的核心功能是创建含有加密HTA文件的HTML页面。当目标访问该页面时,浏览器会动态解密HTA,并直接推送给用户,避免了直接通过HTTP请求暴露敏感数据。这个设计巧妙地避开了内容或文件类型检查的安全机制,特别适合那些难以穿透的安全环境。

技术剖析

Demiguise采用RC4算法对HTA文件进行加密,然后利用navigator.msSaveBlob方法在运行时保存文件,而不是从服务器直接获取。这意味着在整个通信过程中,服务器看到的只是包含加密blob的text/html文件。对于最新版本的Edge,用户会被提示“运行”HTA,进一步增强了隐蔽性。

应用场景

  1. 网络环境探测:通过环境变量(如客户端IP地址)作为密钥来实现动态解密,可以在目标环境中执行而不被第三方沙箱识别。
  2. 跨站脚本漏洞利用:由于输出的是HTML文件,可以利用目标网站的反射型XSS漏洞,将恶意代码伪装成可信任站点的资源。
  3. 邮件附件攻击:许多邮件系统默认不会阻止HTML附件,这为攻击者提供了新的渗透路径。

项目特点

  1. 高效加密:采用RC4算法,确保HTA文件在传输过程中的安全性。
  2. 环境适应性强:允许基于特定环境(如客户端IP地址)生成动态密钥,以防止在沙箱环境中运行。
  3. 多平台兼容:支持最新的Microsoft Edge浏览器及其他支持navigator.msSaveBlob的平台。
  4. 易于集成:输出的HTML和JavaScript代码可灵活部署,适用于各种攻击场景。

安全与防御

虽然Demiguise的实施方式可能难以通过签名检测,但可以通过限制HTA文件的执行权限来进行防御,比如使用软件限制策略(Software Restriction Policy)、设备卫士(Device Guard)或更改默认的HTA文件处理程序。

综上所述,Demiguise是一个创新且实用的开源项目,能够帮助安全研究人员和渗透测试人员更有效地在复杂环境中投递HTA攻击payload。如果你对HTA的安全绕过有兴趣,不妨一试Demiguise,发掘更多可能性。立即加入GitHub,探索并参与项目开发吧!

GitHub项目链接

劳治亮
关注
网络安全工具列表
anquanzushiye的博客
12-30 1111
Sec-Tools-List主要总结渗透中利用到的一些工具,按照ATT&CK矩阵的流程进行分类,在此基础上进行了更细致的划分。一些常用的工具(Nmap、MSF、Minikatz不...
红队武器库-网络安全人员必备
anquanzushiye的博客
02-20 5532
包含内容:侦察武器化投递命令与控制横向移动建立立足点提权数据传输杂项内容很不错,建议转发朋友圈作为存档。侦察主动情报收集EyeWitnessis designed to take sc...
html加密工具
10-16
html加密工具
html文件加密工具类,Vue - RSA加密解密及封装工具
weixin_28702147的博客
06-11 528
一般密码的加密都是使用RSA进行非对称加密一、导入RSA加密文件终端输入命令:npm install jsencrypt导入成功后,可以在package.json查看二、封装加密解密方法在src目录下新建common文件夹,common下新建RSA.js项目中多个页面都会经常用到加密解密,因此封装一个工具类,哪里用到直接调用即可在RSA.js文件中如下代码:import {JSEncrypt} f...
网页加密软件(HTML Password Lock) v5.4.zip
07-17
HTML Password Lock是一个针对单个网页或者整个网站的密码加密工具,用户访问时需要输入口令授权密码才能看到网页或者网站的内容!使用起来不需要学习复杂的Perl等语言,不需要学习复杂的算法,使用本程序的精灵向导就可以轻松的做到! 功能特色: - 管理超过1000个用户/密码。 - 增强的用户信息管理,如电子邮件,姓名和额外信息。 - 生成随机密码,随机用户名/密码系列。 - 支持密码保护HTML,ASP页面和PHP的页面。 - 兼容各种网络托管服务器和html编辑器。兼容所有现代的Web浏览器,不需要额外的浏览器扩展。 - 支持各种托管服务器,没有CGI, ASP,PHP,Web数据库或任何特殊的网络软件。 - 支持CD,DVD或其他任何媒体上发布受保护的网页。 - 兼容各种流行的HTML编辑器。 - 支持从备份文件中恢复。 - 支持定制登录页面样式。 - 支持错误页面的访问重定向到这个页面,如果密码不正确。 - 禁用鼠标右键单击,禁用文本选择。 - 禁用链接显示在状态栏中。 - 禁用打印页面。 - 禁用脱机浏览页面。 - 支持引荐域检查。
html文件加密工具类,[C#] 常用工具类——加密解密类
weixin_30300857的博客
07-03 404
using System;using System.Configuration;using System.Collections.Generic;using System.Text;using System.Web;using System.Web.UI;using System.Web.UI.HtmlControls;using System.Web.UI.WebControls;using S...
html文件夹加密,HTML加密转换工具(WebCrypt)
weixin_28697603的博客
06-28 847
现在网络上面抄袭真的越来越严重,有的网站包括风格都是一样,今天给您推荐的就是一个可以给html文件进行加密工具,这样让别人的看到你的代码都是乱七八糟的,但是实际内容却是非常漂亮的。他除了对html 加密的功能外,还有转换的功能,可以将html转换成asp代码,或是将html转换成php代码。全部或部分加密你的 html 代码.加密你全部页面或仅使用链接加密加密你的链接(全部文档加密功能仅限于 I...
Python-DemiguiseHTA加密工具
08-10
Demiguise - HTA加密工具
Kakao-Valhalla:A2V第一个项目_kakao-arena
02-04
卡卡奥竞技场->瓦尔哈拉 Kakao-Arena를(Arena)상의이상의(Valhalla)로。 (참여가능한설계) 는리는Kakao-arena(1。대한Demiguises팀의아이디어를다)。 介绍 는리는竞赛test竞赛이자贡献者로서이대회를지는로...
HTML 加密
我的幻想之都
05-10 893
前些天用替换法简单地给HTML加密,发现JAVASCRIPT解密效率还真低,只是简单运算而且,数据达到20K以上就明显感觉有些慢。解决重写加密用multibyte widechar两个函数,先将字符转成UNICODE再加密转成UTF-8,因为JAVASCRIPT很可恶,所有字符串都是UNICODE。只好如此了UTF-8 文件前缀 EFBBBF
【Encrypt HTML Pro】世界上最好的网页加密软件
04-25
Encrypt HTML Pro世界上最好的网页加密软件
HTMLPack V9.0 (HTML网页课件打包器,HTML课件和三分屏课件加密首选工具
11-13
HTMLPack,又名HTML2EXE或Web2EXE,可以将html网页打包成exe,将HTML页面或整个网站打包加密在一个压缩格式的EXE文件里,并可以根据用户的电脑进行授权浏览,页面中的文字、动画、图片等无法复制和下载;支持Frame ,动态GIF,多媒体播放,背景声音,Flash,网页动画,Javascript等。 您可以利用本软件制作基于HTML格式的电子书。 V9.0版重要更新: 1、支持Windows8 32位和64位操作系统; 2、新增加密后的文件绑定用户移动设备功能,比如U盘、移动硬盘、手机、SD存储卡等,远程自动 绑定,用户使用您的加密文件时插入绑定的移动设备即可,您的用户换系统换硬件无需再授权,极 大的方便了用户和商家,您再也不用发愁您的用户总是更换系统更换硬件了,直接将用户的移动设 备当作硬件加密锁。 3、加密后的文件增加了绑定用户显卡功能,用户机器码格式变为: 系统BIOS-硬盘-显卡-网卡,多 硬件识别可以让您辨识一些用户到底是更换了电脑还是更换了某个硬件,或者更换了系统; 4、增加了“试用”功能,您可以设置加密后的文件用户可以免费试用几次或几天; 5、可以直接调用网页作为提示语(您可以随时向用户公布最新提示内容); 6、增加了是否提示剩余开启次数和日期的开关; 7、增加了大课件加载时Loading显示功能 V8.0版重要升级: 1、增加了超大课件支持模式,可以支持200M以上的课件高速稳定播放; 2、文件编号可以显示在加密后的文件中,方便商家区分不同文件类别; 3、增加了试播文件制作功能,您可以为用户制作试播文件,并可以控制文件的播放次数和有效期,无需播放密码; 4、授权召回功能,你可以随时令发放给用户的播放密码失效; 5、增加了黑名单机器码,在黑名单中的机器即使有播放密码也无法播放您的视频; 6、播放密码增加了控制文件编号的参数,让你更方便的管理用户能够播放哪些文件和不能播放哪些文件; 7、播放密码增加了导入导出注册文件功能,直接给用户发注册文件,防止用户复制播放密码时丢失字符; 8、增加了一码通功能,同台电脑只需认证一次,并且可以控制播放次数和有效期; 9、V8.0版开始增加了加密狗版本,可以在任何电脑插狗使用。 使用方法: 第1步:选择您的主页文件 第2步:点“开始打包”
HTML Password Lock网页加密软件.rar
04-17
这是一款可以加密网页的软件,可以给网页上锁,保证代码不被泄露被人抄袭下载,是个好东西, 欢迎下载研究使用 免 c 币下载地址 http://download.lllomh.com/cliect/#/product/J417194170736177
MtopHTMLPasswordLock(网站密码加密工具)5.4破解安装版
07-27
MTop HTML Password Lock HTML 破解版是简单来说就是一个针对单个网页或者整个网站的密码加密工具,用户访问时需要输入口令授权密码才能看到网页或者网站的内容!使用起来不需要学习复杂的Perl等语言,不需要学习复杂的算法,使用本程序的精灵向导就可以轻松的做到! 对于那些想要限制访问的网页或整个网站使用密码的程序。只有输入正确的密码,页面才可以访问。支持2种类型的身份验证:密码或
HTML5实现文件加密和打包
10-23
encFiles.htm——把多个图片文件打包并且加密,或者把一个视频文件加密,所生成的文件是一个伪装的jpg图片,在其他软件看来,这是个正常的jpg图片,但可以在decFile.htm中,把其中包含的内容解密出来。设置的密码可以是任何字符,包括中文 decFiles.htm——把encFiles.htm加密的文件解密出来,并且在网页中浏览图片或者看视频。图片浏览支持缩略图、适合窗口和图片原始大小共三种模式。 这两个文件小得惊人(不到20kb),都不引用其他文件(css、javascript或者图片、flash什么的),也不通过任何方式同服务器联络,它们完全可以被视为单文件的绿色软件,只不过这种软件是在浏览器中运行罢了。 在chrome浏览器23.0中测试通过,比较新的基于webkit核心的浏览器应该都能支持。 在学习HTML5的过程中,深深感觉到Blob和FileReader的灵活和强大——已经完全可以做到在本地打开文件,用Javascript处理一番后,再保存为本地文件。于是就写了这么一个例子,来demo一下这种纯粹客户端的HTML5应用
html函数加密 javascript,用HTML和JavaScript写的RSA加密工具
weixin_31893893的博客
06-22 494
运用网页设计的方式写了一个RSA小工具有浏览器能看网页的机器上都能用生成RSA密钥:cryptico.browser.js 是网上找到的现成代码 我只做了一点点修改function showKey(){var psw=document.getElementById("keyForPrivate").value;if(psw==document.getElementById("keyForPriva...
推荐开源项目:Cordova crypt file plugin - 安全的HTML源文件加密插件
最新发布
gitblog_00033的博客
06-03 258
推荐开源项目:Cordova crypt file plugin - 安全的HTML源文件加密插件 cordova-plugin-crypt-fileThis plugin to encrypt the source files.项目地址:https://gitcode.com/gh_mirrors/co/cordova-plugin-crypt-file 项目介绍 在移动应用开发中,数据安全至...
html加密,网页加密,网页源码加密
w2sft的博客
02-15 1237
html加密,网页加密,网页源码加密
Html网页源码加密
qq_34200979的博客
01-10 1621
Html网页源码加密
加密传输 (HTML加密 ,java后台解密)
weixin_44544885的博客
06-15 1537
js插件:https://pan.baidu.com/s/16MwvWMizBcq8D1JKSmkM4A 提前码:hr2y 1.页面对账号和密码进行加密 传输 var username = encrypt(username); var password = encrypt(password); //str为需要加密的String字符 function encrypt(str) { //密钥--应和后台java解密或是前台js解密的密钥保持一致(16进制) ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

劳治亮

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值