整合營(yíng)銷服務(wù)商
電腦端+手機(jī)端+微信端=數(shù)據(jù)同步管理
免費(fèi)咨詢熱線:
電腦端+手機(jī)端+微信端=數(shù)據(jù)同步管理
免費(fèi)咨詢熱線:
望聞問切:了解并收集問題現(xiàn)象。
大約是為了和 Office 其它組件統(tǒng)一,Access 有一個(gè)特色:它把所有對(duì)象和數(shù)據(jù)都放在同一個(gè)文件中。而不像其它開發(fā)工具,每個(gè)模塊都是一個(gè)或多個(gè)文件。
因此當(dāng)我們使用 Access 進(jìn)行開發(fā)時(shí),不可避免會(huì)對(duì)同一數(shù)據(jù)庫文件進(jìn)行反復(fù)修改。
但修改的次數(shù)一多,就會(huì)出現(xiàn)各種奇奇怪怪的問題。比如下面這些:
注意!這些只是我當(dāng)前能收集到的一些具有代表性的問題,而不是前面所說的奇奇怪怪的問題的全部!
當(dāng)遇到這些讓你摸不著頭的對(duì)話框時(shí),實(shí)際上是 Access 在向你傳達(dá)了一個(gè)不幸的消息:很遺憾,你的數(shù)據(jù)庫文件出現(xiàn)了異常或損壞,Access 無法正常進(jìn)行工作。
辨證施治:找出問題發(fā)生的原因和解決辦法。
Access 數(shù)據(jù)庫出現(xiàn)問題,最簡(jiǎn)單的辦法自然就是壓縮修復(fù)了,但如果是出現(xiàn)前面所講的問題,壓縮修復(fù)基本不能解決問題。實(shí)際上仔細(xì)觀察上面的錯(cuò)誤信息,可以粗略得出一個(gè)規(guī)律:都和修改 VBA 代碼有關(guān)。
實(shí)際上對(duì)于數(shù)據(jù)對(duì)象(主要是表)的損壞,壓縮修復(fù)是很有用的手段。但對(duì)于作為客戶端使用的數(shù)據(jù)庫文件,絕大多數(shù)奇奇怪怪的問題都是由于編譯狀態(tài)異常造成的,而不少初學(xué)者寫代碼不夠仔細(xì) ,會(huì)有一個(gè)不太好的習(xí)慣:過度依賴編譯功能來排錯(cuò)。而過于頻繁地進(jìn)行編譯,就會(huì)造成編譯異常不斷積累(VBA的編譯器比較爛的)。
那么有什么辦法可以消除編譯狀態(tài)異常呢?這就要用到一個(gè) Access 的命令行開關(guān):
/decompile
最常規(guī)的用法是,按 Win+R 組合鍵,打開運(yùn)行對(duì)話框,然后輸入以下包含 /decompile 開關(guān)的命令行并回車運(yùn)行:
msaccess "D:\測(cè)試\Main.mdb" /decompile
注意中間的文件路徑名,要改成你實(shí)際的文件路徑名。
療效跟蹤:為什么仍然不能修復(fù)已損壞的數(shù)據(jù)庫文件?
實(shí)際上 Access 數(shù)據(jù)庫文件的損壞,就和人生病一樣,根據(jù)病癥的的輕重程度不同,同樣的治療方法療效也不一樣。病情輕微時(shí),可以很容易治好。而隨著病情加重,就越來越難以治好了。到最后可能就變成了:癌癥晚期,治不了,準(zhǔn)備后事吧!
如果出現(xiàn)本文開頭那些錯(cuò)誤信息,說明文件損壞已經(jīng)挺嚴(yán)重了!
所以,解決 Access 由于編譯異常而造成的損壞,也和治病的思路一樣:預(yù)防為主,治療為輔。
但這里有一個(gè)問題,由于 Access 的單文件特性,在出現(xiàn)明顯的錯(cuò)誤之前,我們不知道是否存在編譯異常及文件損壞;即使出現(xiàn)了明顯的錯(cuò)誤,有時(shí)候往往也無法判斷究竟是哪個(gè)或哪幾個(gè)對(duì)象的有問題。正如很多癌癥早期沒有任何癥狀,很難發(fā)現(xiàn),當(dāng)發(fā)現(xiàn)明顯癥狀時(shí)已經(jīng)是晚期了。
因此,最正確的用法是:不能把反編譯當(dāng)成一個(gè)出現(xiàn)問題之后的治療手段,而是當(dāng)成一個(gè)日常養(yǎng)生保健手段。
當(dāng)然事無絕對(duì),在 Access 中,我們也不是完全沒有半點(diǎn)檢查手段。這里有一個(gè)檢測(cè)窗體(或其它對(duì)象)是否損壞的方法:
一般來說,越復(fù)雜的對(duì)象,越容易出問題。因此在 Access 中,最容易損壞的多半是比較復(fù)雜的窗體。
我們可以先用 SaveAsText 方法將窗體另存為文本文件,再用 LoadFromText 方法將文件文件加載為窗體(自動(dòng)替換已有窗體)。這2個(gè)步驟任何一個(gè)無法完成,就說明這個(gè)窗體有異常或損壞。
當(dāng)然這個(gè)操作要一個(gè)一個(gè)窗體進(jìn)行處理,就很繁瑣,最好是要自己寫一個(gè)循環(huán)代碼來處理。
如果你使用盟威軟件快速開發(fā)平臺(tái),那么可以打開 SysFrm_DevTool_ObjectRepair 窗體,這個(gè)是現(xiàn)成工具的,并且是開源的,直接使用即可。
優(yōu)化改進(jìn):怎么簡(jiǎn)單方便地使用反編譯命令行?
現(xiàn)在我們知道反編譯命令的好處,也知道了應(yīng)該經(jīng)常性地使用它。但每次都要打開“運(yùn)行”對(duì)話框,然后輸入命令行,再回車打開文件,感覺好麻煩啊!怎么辦?
這里本公子教大家一個(gè)進(jìn)行反編譯最簡(jiǎn)單的方法:使用VBS腳本來執(zhí)行命令行。
假設(shè)數(shù)據(jù)庫文件名是 Main.mdb,新建一個(gè)文本文件,然后將其重命名為“反編譯打開Main.vbs”,右鍵點(diǎn)擊然后在快捷菜單中選擇“編輯”菜單項(xiàng),用記事本打開它,打開后輸入以下代碼:
strName="Main.mdb"
strPath=CreateObject("Scripting.FileSystemObject").GetFolder(".").Path & "\"
CreateObject("WScript.Shell").Run "MSACCESS """ & strPath & strName & """ /decompile"
然后我們每次打開 Main.mdb 的時(shí)候,不再直接雙擊Main.mdb 來打開,而是改為雙擊這個(gè)“反編譯打開Main.vbs”的腳本文件來打開。
這樣沒有增加任何額外操作!是不是方便多了?
注意事項(xiàng):只是為了提醒你們不要馬虎!
1. 腳本中使用了相對(duì)路徑,因此 vbs 腳本文件必須和 Access 數(shù)據(jù)庫文件放在同一文件夾中。
2. 腳本中第1行代碼指定的文件名,必須和要打開的數(shù)據(jù)庫文件名相同。
復(fù)盤總結(jié):前事不忘,后事之師。
解決 Access 的各種異常及損壞,其實(shí)無非就是三板斧,別無它法:
1. 反編譯;
2. 壓縮修復(fù);
3. 導(dǎo)出所有對(duì)象到空的新建數(shù)據(jù)庫文件中。
但這些就像是武術(shù)中的基本招式,運(yùn)用之妙,存乎一心!水平的體現(xiàn),就是看你能不能把基本招式玩出花來。
反編譯主要用于解決非數(shù)據(jù)異常損壞問題。
壓縮修復(fù)主要用于解決數(shù)據(jù)異常損壞,當(dāng)然非數(shù)據(jù)問題最好也壓縮修復(fù)一下。
如果用了前面兩招,仍然有問題,那么就用導(dǎo)出所有對(duì)象到空的新建數(shù)據(jù)庫文件中這一招。
最后的最后,再次強(qiáng)調(diào)一句:多備份!多備份!多備份!
者:WisFree
預(yù)估稿費(fèi):200RMB
投稿方式:發(fā)送郵件至linwei#360.cn,或登陸網(wǎng)頁版在線投稿
在這篇文章中,我們將給大家演示攻擊者如何利用惡意HTML應(yīng)用程序(HTA)[1]文件來繞過傳統(tǒng)的代理過濾。除此之外,我們還會(huì)告訴大家一些相應(yīng)的防御措施來抵御這種類型的攻擊技術(shù)。
背景知識(shí)
我們?cè)趲椭蛻暨M(jìn)行紅隊(duì)安全測(cè)試的過程中,我們通常會(huì)嘗試使用惡意Payload來獲取代碼執(zhí)行權(quán)限,因?yàn)檫@種方式與現(xiàn)實(shí)生活中攻擊者所采用的方式是一樣的。
隨著網(wǎng)絡(luò)安全防御技術(shù)的不斷發(fā)展與提升,再加上廠商越來越注重安全防御端產(chǎn)品的研發(fā)了,導(dǎo)致攻擊者不得不去尋找更加新穎的攻擊技術(shù)來在他們的目標(biāo)主機(jī)中執(zhí)行惡意代碼。在此之前,很多攻擊者都是通過使用惡意Java Applets以及Adobe Flash漏洞來執(zhí)行惡意代碼,但這種方式現(xiàn)在已經(jīng)有些過時(shí)了,因?yàn)槟壳敖^大多數(shù)的瀏覽器都采用了“點(diǎn)擊播放”功能,有些甚至還完全移除了對(duì)上述這兩種功能的支持[2]以防止其被攻擊者濫用。
除此之外,用戶現(xiàn)在還可以通過組策略[3]來屏蔽Office宏,而這也是過去攻擊者及其依賴的一種攻擊向量。對(duì)象連接與嵌入(OLE)同樣也是一種在過去非常流行的攻擊向量,它允許攻擊者在一份Office文檔中嵌入惡意的可執(zhí)行內(nèi)容,不過可能是因?yàn)檫@種技術(shù)以前使用得過于頻繁了,所以現(xiàn)在很多安全防護(hù)產(chǎn)品都提供了緩解方案以專門針對(duì)這種基于宏文件的安全威脅。微軟公司隨后也很快意識(shí)到了這些問題,并對(duì)Office文檔中可嵌入的文件類型進(jìn)行了嚴(yán)格的限制[4],他們也希望通過這種方式來進(jìn)一步降低Office的攻擊面。
在了解到上述這些內(nèi)容之后,那么當(dāng)大家聽到IE瀏覽器(Internet Explorer)或Edge瀏覽器目前仍然支持HTA(HTML應(yīng)用程序)文件時(shí),想必大家也不會(huì)感到驚訝了吧?這是一種非常古老的攻擊技術(shù)了,但目前仍然有攻擊者會(huì)使用這種方式來進(jìn)行攻擊。
近期安全研究人員發(fā)現(xiàn),Hancitor惡意郵件活動(dòng)背后的攻擊者就在他們的攻擊鏈中使用了這種惡意HTA文件,而這些惡意HTA文件會(huì)在目標(biāo)用戶的計(jì)算機(jī)中注入能夠用戶盜竊密碼的惡意軟件。除此之外,HTA文件還可以被當(dāng)做漏洞CVE-2017-0199[5](該漏洞影響范圍同樣非常大)的利用向量來使用。
你也已經(jīng)看到了,無論是安全廠商還是微軟公司目前都將注意力放在了惡意Office宏以及OLE嵌入的問題上了,但你可能會(huì)問:為什么HTA文件目前仍然還是我們的威脅呢?答案就是:雖然這種HTA文件已經(jīng)存在了有很長(zhǎng)一段時(shí)間了,但是隨著網(wǎng)絡(luò)攻擊技術(shù)的不斷發(fā)展,這些HTA文件被用于網(wǎng)絡(luò)攻擊的情況也是廠商和第三方最近才發(fā)現(xiàn)的。因此HTA文件目前仍然是可以正常工作的,而攻擊者只需要找到阻力最小的攻擊途徑,就能夠輕松地完成攻擊任務(wù),這對(duì)惡意攻擊者來說絕對(duì)是一個(gè)福音。
HTA文件是什么?
一般來說,HTA(HTML應(yīng)用程序)文件是由HTML代碼和類似JScript或VBScript這樣的腳本代碼組成的,我們也可以直接將其理解成普通的Web頁面。但與Web頁面不同的是,HTA文件不僅能夠以完全受信任的模式運(yùn)行,而且還能夠訪問普通Web頁面所不能訪問的功能和權(quán)限,例如ActiveX控制(通常會(huì)被標(biāo)記為‘不安全’)等等。
這也就意味著,如果一名攻擊者能夠通過一個(gè)惡意頁面來提交一個(gè)HTA文件,并想辦法誘使用戶點(diǎn)擊該文件,那么攻擊者就可以在目標(biāo)用戶的計(jì)算機(jī)中執(zhí)行惡意代碼了。而且值得注意的是,整個(gè)攻擊過程完全不需要利用任何的漏洞或繞過任何的安全防御措施。
攻擊實(shí)現(xiàn)
從攻擊者的角度來看,能夠阻攔你的Payload順利抵達(dá)目標(biāo)主機(jī)的東西一般來說就是類似Web內(nèi)容檢測(cè)代理或URL掃描‘沙盒’之類的安全防護(hù)產(chǎn)品。這些安全產(chǎn)品會(huì)一直關(guān)注和掃描所有的可執(zhí)行內(nèi)容,例如通過用戶瀏覽器所下載的可執(zhí)行文件或腳本,一旦發(fā)現(xiàn)了可疑對(duì)象,安全產(chǎn)品便會(huì)立刻屏蔽這些內(nèi)容。某些安全產(chǎn)品還會(huì)采用沙盒分析環(huán)境,這也就意味著你的惡意內(nèi)容將會(huì)被安全產(chǎn)品下載并在虛擬機(jī)環(huán)境中運(yùn)行,而這些文件的惡意活動(dòng)都會(huì)被暴露在‘聚光燈’之下。因此,這些客戶端的安全防護(hù)機(jī)制就是攻擊者需要想辦法解決的對(duì)象。
綜上所述,為了解決目前面臨的困難,我們創(chuàng)建了Demiguise【下載地址】,一款專門針對(duì)HTA文件的加密工具。
我們近期曾為一名客戶進(jìn)行了紅隊(duì)安全測(cè)試,這名客戶的環(huán)境中部署了各種安全專家所建議采用的安全控制措施,并且還部署了沙盒以及內(nèi)容檢測(cè)Web代理。這也就意味著,我們需要想辦法繞過Web代理(防止惡意可執(zhí)行內(nèi)容被屏蔽),并將我們的惡意HTA文件發(fā)送給用戶。當(dāng)然了,理想情況下我們也不希望這些HTA文件在沙盒環(huán)境下被執(zhí)行。
Demiguise可以創(chuàng)建一個(gè)HTML文件,該文件中會(huì)包含加密版本的HTA Payload(你提供的HTA文件)。這也就意味著,文件內(nèi)容將會(huì)作為一個(gè)單獨(dú)的HTTP請(qǐng)求(內(nèi)容類型為html/text)發(fā)送,這也是代理非常樂意看到的東西。當(dāng)HTML內(nèi)容呈現(xiàn)在目標(biāo)用戶的瀏覽器中時(shí),嵌入其中的JavaScript將會(huì)被拆包,并在調(diào)用msSaveBlob[6](它可以直接通過用戶的瀏覽器下載未拆包的文件)之前解密HTA內(nèi)容。
接下來,系統(tǒng)將會(huì)提示用戶運(yùn)行HTA文件(提示兩次),如果他們兩次都點(diǎn)擊了‘同意’,那么HTA文件將會(huì)成功運(yùn)行。
環(huán)境控制
為了提升攻擊的效果,并避免被沙盒產(chǎn)品檢測(cè)到,該工具還支持‘環(huán)境密鑰’的概念。
這種概念的原理為:我們不會(huì)將Payload加密密鑰直接硬編碼進(jìn)HTML源代碼中,而是嘗試從用戶當(dāng)前所在環(huán)境中的某個(gè)對(duì)象那里獲取密鑰。這種對(duì)象應(yīng)該是某種我們能夠通過JavaScript腳本來區(qū)分不同用戶主機(jī)的東西,并且這個(gè)東西在其他地方將不會(huì)起效,比如說用戶簽名。一種比較好的方法就是通過JavaScript腳本在目標(biāo)所在網(wǎng)絡(luò)中找到某種只能夠在該網(wǎng)絡(luò)中解析的對(duì)象,例如內(nèi)網(wǎng)托管的鏡像文件、或目標(biāo)用戶的外網(wǎng)IP地址。
至于如何去選取‘環(huán)境密鑰’,我們?cè)诒疚闹芯筒蛔錾钊胩接懥耍@個(gè)就留給攻擊者自己去考慮吧!不過我可以給大家推薦兩款非常有用的工具- BeEF[7]【下載地址】和WebFEET[8]【下載地址】,它們可以幫助你對(duì)用戶的環(huán)境進(jìn)行指紋提取,你可以在測(cè)試之前完成指紋提取活動(dòng)。
下面給出的是Demiguise的使用樣例[9]:
防御措施
由于攻擊者可以對(duì)代碼進(jìn)行混淆處理,所以想要對(duì)這種攻擊技術(shù)進(jìn)行識(shí)別會(huì)有一定的困難,因此最佳的防御方按就是完全屏蔽HTA文件的執(zhí)行了。我們可以通過使用軟件限制策略(SPR[10])或Device Guard來完成屏蔽HTA文件執(zhí)行的操作。
另一種比較簡(jiǎn)單的方法就是修改.hta文件的文件處理程序,將系統(tǒng)默認(rèn)的.hta文件打開方式修改為類似notepad.exe之類的程序,這樣也可以緩解惡意HTA文件所帶來的影響。
參考資料
[1] https://msdn.microsoft.com/en-us/library/ms536471(VS.85).aspx
[2] https://blog.chromium.org/2017/07/so-long-and-thanks-for-all-flash.html?m=1
[3] https://blogs.technet.microsoft.com/mmpc/2016/03/22/new-feature-in-office-2016-can-block-macros-and-help-prevent-infection/
[4] https://twitter.com/enigma0x3/status/888443907595526144
[5] https://www.fireeye.com/blog/threat-research/2017/04/cve-2017-0199-hta-handler.html
[6] https://msdn.microsoft.com/en-us/library/hh779016(v=vs.85).aspx
[7] https://github.com/beefproject/beef
[8] https://github.com/nccgroup/WebFEET
[9] https://github.com/nccgroup/demiguise
[10] https://technet.microsoft.com/en-gb/library/bb457006.aspx
[11] https://docs.microsoft.com/en-us/sccm/protect/deploy-use/use-device-guard-with-configuration-manager
:概述
通過plink SSH 做Windows IE proxy 數(shù)據(jù)轉(zhuǎn)發(fā)。
二:腳本
strMachines="127.0.0.1:9988"
aMachines=split(strMachines, ";")
For Each machine2 in aMachines
machinearr=split(machine2, ":")
machine=machinearr(0)
Set objPing=GetObject("winmgmts:{impersonationLevel=impersonate}")._
ExecQuery("select * from Win32_PingStatus where address='"_
& machine & "'")
Set objwss=WScript.CreateObject("WScript.Shell")
For Each objStatus in objPing
If IsNull(objStatus.StatusCode) or objStatus.StatusCode<>0 Then
WScript.Echo(machine2 & " is not reachable")
else
WScript.Echo(machine2 & " is OK")
if confirm("設(shè)置代理為"& machine2 &"?") then
msgbox SetIEProxy(1,machine2)
end if
End If
Next
Next
function confirm(s)
confirm=(msgbox(s,vbYesNo,s)=6)
end function
Function SetIEProxy(ProxyEnable,ProxyIP)
On Error Resume Next
Const HKEY_CURRENT_USER=&H80000001
strComputer="."
Set objReg=GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}\\" & strComputer & _
"\root\default:StdRegProv")
strKeyPath="Software\Microsoft\Windows\CurrentVersion\Internet Settings\"
strEntryName="ProxyEnable"
dwvalue=ProxyEnable
objReg.SetDWORDValue HKEY_CURRENT_USER, strKeyPath, strEntryName,dwValue
strEntryName="ProxyServer"
dwvalue=ProxyIP
objReg.SetStringValue HKEY_CURRENT_USER, strKeyPath, strEntryName,dwValue
If Err=0 Then
SetIEProxy=True
Else
SetIEProxy=False
End If
End Function
objwss.RUN "plink 111.230.10.80 -P 50332 -l guige -pw zhangXXX -L 9988:111.230.10.80:9988"
三:執(zhí)行結(jié)果
first login save key
login OK
listen 9988
auto set proxy
四:分享
*請(qǐng)認(rèn)真填寫需求信息,我們會(huì)在24小時(shí)內(nèi)與您取得聯(lián)系。
