写在前面
之前有朋友问我为什么攻防演练docx运行直接可以上线,怎么把exe改成docx后缀等等,当时没给说清楚,可能有的人还不知道,现在简单说一下。仅供学习交流使用,切勿用于非法用途,与本人无关。
开始
第一种:就是利用WPS或者微软WORD漏洞,直接执行即可上线。
第二种:exe改docx,一般配合自解压压缩包运行后执行脚本打开一个docx并运行内含的木马文件,即可上线。让被钓鱼者觉得打开了一个正常word,如此更隐蔽。
第二种演示:
右击重命名将鼠标放置.exe前面右击,插入Unicode控制字符,选择RLO选项。
依次输入xcod 显示如图所示
注意其中的exe不可删除
最终改成如下形式了:
但在windows里本质还是exe
辣鸡小tips
如果觉得exe太炸眼了,可以将exe改为com,com在windows中也是可以直接运行,因为com在Windows中也是可执行文件
源文件:
将huawei.com前面加一个.如下图:
在.huawei.com前面右击重复上述相同步骤,输入xcod
最终修改如下:
上线成功截图:
原文始发于微信公众号(浪飒sec):虚假的docx上线基操
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论