本文内容涉及程序/技术原理可能带有攻击性,仅用于安全研究和教学使用,务必在模拟环境下进行实验,请勿将其用于其他用途。
因此造成的后果自行承担,如有违反国家法律则自行承担全部法律责任,与作者及分享者无关
0x01 件名反转
在渗透过程中,有时需要通过钓鱼来来传播一些木马文件,而这些木马文件需要精心的伪装。RLO即 Start Of Right-to-Left override。我们可以通过选择插入Unicode控制字符RLO来达到反转文件名的效果
以CobaltStrike生成的木马BypassAV.exe为例
1、生成木马文件
2、加入我们想让这个木马伪装为zip的文件
由于RLO是从右向左的顺序,我们编辑文件选择重命名,在.exe前输入piz
3、在BypassAV后piz前的位置右键选择Unicode控制字符,然后选择RLO
4、查看文件属性文件后缀已经变成了zip
0x02 自解压释放执行
自解压是捆绑文件的一种做法,利用WinRAR将正常文件与木马压缩在一起,并创建一个可以自解压的exe文件,在解压过程后可以自动运行释放的文件
操作步骤
1、我们将生成的木马与需要压缩的文件放在同一级目录(也可不同级目录),将木马文件命名为envchk.exe
2、右键全选需要压缩的文件,然后点击"添加到压缩文件"
3、选择创建自解压格式压缩文件
4、在高级选项中选择自解压选项
5、配置解压路径,级运行后程序的释放路径
这里我们配置成C:\PragramData目录
6、在设置选项卡中设置程序解压后需要运行的程序
这里的路径填写文件解压后的绝对路径或相对路径
7、在模式中的安静模式配置为全部隐藏
8、配置快捷方式
在高级>快捷方式中添加快捷方式
9、点击完成生成自解压包
10、运行生成的自解压把发现软件可以正常打开,CS也可以正常上线
查看Programdata目录,可以看到文件是成功释放的
0x3 Office加载远程模板
远程宏模板技术,就是利用使用模板创建的文档在启动时会加载模板的原理,将其加载的正常模板替换为带有宏病毒的恶意模板,主要涉及一下两个文档:
1、docx:正常使用模板创建的文档
2、dotm:带有宏病毒的恶意宏模板文件相比与直接发送宏文档,这种方法发送的docx文档会更隐蔽一下,也不会被杀软检测到,因为这个文档本身时不含有宏的。
office远程加载模板
1、首先创建一个宏模板文件
2、选择宏位置为当前文档,然后创建宏
3、将宏代码写入并保存为dotm文件
4、将宏模板文件上传至互联网
5、使用模板创建一个docx文档
6、将文档保存后,后缀名改成zip格式,并将word_res\settings.xml.res文件解压出来
7、修改settings.xml.res中的tartget字段,将其替换为互联网上的宏病毒模板文件,并将文件压缩会文档
8、打开修改过的文档,看到从文档在打开时从互联网下载了带有宏病毒的模板
9、然后点击启用宏,发现CS已上线
加入我的星球
下方查看历史文章
扫描二维码
获取更多精彩
NowSec
2887
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
