Unicorn.py生成一个看起来像
的字符串 powershell -flag1 -flag2 "something " obfuscation; powershell "more gibbrish
有趣的是,如果此命令保存在文件filename.txt中,则Windows在打开notepad.txt中的文件之前执行该命令(此时文件为空)。
尽管扩展名为何仍执行文件? 脚本在双引号后遇到EOF时会做什么?
编辑:
Unicorn(https://github.com/trustedsec/unicorn)是一个“启用特权提升和任意代码执行”的脚本。如果您知道这意味着什么。当然,我没有输入实际的字符串,只是关键特征。
答案 0 :(得分:1)
完全出于IT安全考虑。
我认为,如果您在unicorn.py中阅读了该手册,那绝对不会说该脚本应该保留在txt文件中。
PowerShell脚本写在txt文件中,并称为“有效载荷”(非常像黑客)。剩下的就是如何在受害者的计算机上执行此代码。
该手册提出了Word代码注入功能,只需在cmd中执行PowerShell(我引用“下一步,简单地将powershell命令复制到您可以执行远程命令的功能。”),Excel Auto_Open攻击等等。
如果阅读手册太多,总会有video。唯一的“黑客”使用记事本之类的东西是在他的Linux操作系统上(多么讽刺)……之所以观看它,是因为我喜欢帕帕·罗奇(Papa Roach)音乐的最后手段...
对于那些关心IT安全性的人,我推荐这篇文章dosfuscation。这真的很有启发性,说明您在接收邮件,外部文件时必须格外小心,以及……人类如何浪费大量时间进行间谍,欺骗,发明新的扭曲策略……我们不是很棒!
Windows与其他任何系统一样,都有许多系统缺陷,但是打开记事本不是其中之一。除非您的记事本已被使用独角兽的黑客所取代...
答案 1 :(得分:1)
混淆的脚本中的括号为偶数。您是否将''与"混合在一起?
空txt文件意味着您已通过网络将Attack.txt发送到驱动器,该驱动器可通过更新的防病毒和隔离/删除的防病毒文件内容访问。由于您不了解与防病毒的这种交互,因此您的环境并不安全。这意味着您先前的测试中可能还存在其他恶意软件,这些恶意软件潜伏在“干净”的网络中。