利用快捷方式隱藏并執行shellcode

發布日期:2019-09-27 瀏覽次數: 10104 次

0x00:簡介

快捷方式是win系統下為各種程序、文件、文件夾提供的一種快速啟動程序。

后綴名大多為(.lnk),少見的后綴名有(.pif)、(.url)。

早期的“桌面圖標lnk木馬”也是危害一時。“惡意程序”通過偽造成正常應用來混淆視聽,造成惡意破壞等操作。

0x01:環境準備

1、MSF

2、UPX(pip install upx)

3、數字簽名添加器(https://www.ttrar.com/html/7418.html)

4、Phpstudy

5、攻擊機器Win7-64位(172.20.10.2)

6、受害者機器Win7-32位(172.20.10.3)

7、攻擊機器Kali(172.20.10.14)

0x02:過程

一、MSF生成payload并進行簡單的免殺處理

1、編碼、捆綁(正常的32位calc.exe)

2、加殼、簽名

利用upx加殼并生成“jaky666.exe”

添加數字簽名

二、Win7-64位 搭建web服務(phpstudy)

啟動一個web服務,并把”jaky666.exe”放在目錄下。等待被遠程下載。

三、惡意Ink部署

1、新建立一個text.txt并填寫如下代碼

2、新建立一個1.ps1并填寫如下代碼

3、powershell執行1.ps1在當前目錄生成“jaky.lnk”

部署完成

接下來

把“jaky.Ink”文件扔給受害者服務器

四、MSF開啟監聽

五、受害者服務器執行”Ink”

獲取到shell

六、查看Ink

0x03:查殺測試

一、本地查殺

二、在線查殺

1、Ink查殺

http://r.virscan.org/language/zh-cn/report/e2f14da45f32b03430bd7feb7c384189

(因為快捷方式引用的是cmd.exe,所以上傳的程序就是cmd.exe)

2、jaky666.exe查殺

http://r.virscan.org/language/zh-cn/report/8773a7a9dfd1a48becd614e70bc689d3

居然被查殺了

一首(涼涼)送給自己

0x04:閑言碎語

1、圖標可以換成正常的應用程序的,方便隱藏

2、Ink快捷方式運行后,會在當前目錄下存在“惡意程序”。存放目錄還需要改進。或者更加高明的隱藏

3、該“惡意程序”只是做了簡單的免殺,甚至并不免殺。這里期待免殺大佬改進

 

轉自:黑白之道

分享到:
×

微信掃一掃分享

三个骰子大小玩法技巧