Unicorn.py生成一个看起来像的字符串
powershell -flag1 -flag2 "something " obfuscation; powershell "more gibbrish
有趣的是,如果此命令保存在文件中filename.txt Windows在打开notepad.txt中的文件之前执行它(此时文件为空)。
尽管扩展名为什么文件仍然执行?脚本在奇数引号后遇到EOF时会做什么?
编辑: Unicorn(https://github.com/trustedsec/unicorn)是一个“允许权限提升和任意代码执行”的脚本。如果你知道这意味着什么。当然我没有把实际的字符串,只是关键功能。
完全出于IT安全利益。
我想如果您在unicorn.py中阅读本手册,那么它绝对没有时间说该脚本应保留在txt文件中。
PowerShell脚本是在txt文件中编写的,称为“有效负载”(很像黑客)。剩下的就是如何在受害者的计算机上执行此代码。
该手册提出了Word代码注入,只需在cmd中执行PowerShell(我引用“下一步只需将powershell命令复制到您具有远程命令执行能力的东西。”),Excel Auto_Open攻击等等。
如果阅读手册太多,总会有一个video。唯一一次“黑客”使用记事本就像是在他的Linux操作系统上(多么具有讽刺意味)......我看着它,因为我喜欢这个Papa Roach音乐Last Resort ......
对于那些担心IT安全的人,我推荐这篇文章dosfuscation。这对于如何在收到邮件,外部文件时要格外小心,以及人类如何浪费这么多时间进行间谍活动,欺骗,发明新的扭曲策略真的很有启发性...我们不是很棒!
像任何其他系统一样,Windows有许多系统缺陷,但打开记事本不是其中之一。除非你的记事本被一个使用独角兽的黑客所取代......
混淆的脚本中有偶数个括号。你把''和"混在一起了吗?
空txt文件表示您已通过网络将attack.txt发送到可由更新的防病毒和防病毒隔离/删除的文件内容访问的驱动器。由于您不了解与防病毒的这种交互,因此您的环境不安全。这意味着您可能在“干净”的网络上潜伏着之前测试的其他恶意软件。