利用RTLO欺骗文件名
转自:https://www.lijiejie.com/unicode-rtlo-right-to-left-override-issue/
今天简单聊一下 RTLO的小问题。
RTLO是一个8238的Unicode字符,它的作用是让紧跟在后面的字符串倒序: https://www.codetable.net/decimal/8238
可以用来欺骗用户打开可执行文件(钓鱼攻击),或者欺骗后端应用的检查机制。
例如,我这里有一个可执行文件,文件名是 u'aaaa\u202eFDP.exe' 的文件,202e是
>>hex(8238)
'0x202e'
那么windows用户在资源管理器中看到的文件名将显示为 aaaaexe.PDF,如果这个exe的图标正好PDF的图标,可能会欺骗用户点击执行。
我示例将cmd.exe重命名为 u'aaaa\u202eFDP.exe' ,python中执行
>>os.rename('cmd.exe',u'aaaa\u202eFDP.exe')
用户在资源管理器中看到的效果就是aaaaexe.PDF(我这里特意大写了PDF):
不过,可以注意到,文档类型那一栏,依然是“应用程序”。而且一般的安全工具也能拦截这种欺骗攻击。
本文参考链接: https://blog.malwarebytes.org/online-security/2014/01/the-rtlo-method/
评论