Loading
0

利用Powershell和PNG在Imgur上投毒

该脚本工作流程如下:

从Imgur下载PNG并将其保存到磁盘

1. 使用System.Drawing,读取每个像素并提取alpha(A)的值

2. 确保从数组中删除所有空值(0x00)

3. 对Base64数据进行解码并将文件写入磁盘

4. 将新解码的文件作为可执行文件运行

基于上面的代码,它当然会弹出计算器:

http://p7.qhimg.com/t0153f5b887c3543808.png

要想执行上面的代码,要求你的系统允许执行Powershell脚本。也就是说,虽然在大多数家用电脑这不是一个安全问题,因为它被默认禁用的,但是许多企业环境都要求启用这项功能。绕过所有限制的方法,是在VBScript的帮助下执行代码,可以在一个Word宏中存储所有这些东西。

 

解决方案

 


需要记住的一点是,虽然攻击是使用Powershell完成的,但这并不意味着你不能用带有嵌入宏的Word文档来实现这一点。从终端用户角度来看,避免执行任何不需要的代码是避免这种情况的最好方法。

分页阅读: 1 2 3 4 5 6
【声明】:8090安全小组门户(https://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。