利用快捷方式隐藏并执行shellcode

发布日期:2019-09-27 浏览次数: 10127 次

0x00:简介

快捷方式是win系统下为各种程序、文件、文件夹提供的一种快速启动程序。

后缀名大多为(.lnk),少见的后缀名有(.pif)、(.url)。

早期的“桌面图标lnk木马”也是危害一时。“恶意程序”通过伪造成正常应用来混淆视听,造成恶意破坏等操作。

0x01:环境准备

1、MSF

2、UPX(pip install upx)

3、数字签名添加器(https://www.ttrar.com/html/7418.html)

4、Phpstudy

5、攻击机器Win7-64位(172.20.10.2)

6、受害者机器Win7-32位(172.20.10.3)

7、攻击机器Kali(172.20.10.14)

0x02:过程

一、MSF生成payload并进行简单的免杀处理

1、编码、捆绑(正常的32位calc.exe)

2、加壳、签名

利用upx加壳并生成“jaky666.exe”

添加数字签名

二、Win7-64位 搭建web服务(phpstudy)

启动一个web服务,并把”jaky666.exe”放在目录下。等待被远程下载。

三、恶意Ink部署

1、新建立一个text.txt并填写如下代码

2、新建立一个1.ps1并填写如下代码

3、powershell执行1.ps1在当前目录生成“jaky.lnk”

部署完成

接下来

把“jaky.Ink”文件扔给受害者服务器

四、MSF开启监听

五、受害者服务器执行”Ink”

获取到shell

六、查看Ink

0x03:查杀测试

一、本地查杀

二、在线查杀

1、Ink查杀

http://r.virscan.org/language/zh-cn/report/e2f14da45f32b03430bd7feb7c384189

(因为快捷方式引用的是cmd.exe,所以上传的程序就是cmd.exe)

2、jaky666.exe查杀

http://r.virscan.org/language/zh-cn/report/8773a7a9dfd1a48becd614e70bc689d3

居然被查杀了

一首(凉凉)送给自己

0x04:闲言碎语

1、图标可以换成正常的应用程序的,方便隐藏

2、Ink快捷方式运行后,会在当前目录下存在“恶意程序”。存放目录还需要改进。或者更加高明的隐藏

3、该“恶意程序”只是做了简单的免杀,甚至并不免杀。这里期待免杀大佬改进

 

转自:黑白之道

分享到:
×

微信扫一扫分享