安全矩阵

 找回密码
 立即注册
搜索
查看: 324|回复: 0

实战WinRAR捆绑图片和恶意程序并自动上线Cobalt Strike(cs钓...

[复制链接]

57

主题

57

帖子

181

积分

注册会员

Rank: 2

积分
181
发表于 2024-6-22 16:11:52 | 显示全部楼层 |阅读模式
本帖最后由 chr 于 2024-6-22 16:11 编辑

一、环境准备
[color=rgba(0, 0, 0, 0.9)]工具:Cobalt Strike、Winrar压缩工具、一张JPG图片
[color=rgba(0, 0, 0, 0.9)]虚拟机IP:【攻击机】Kali:192.168.232.128【靶机】win7:192.168.232.144
[color=rgba(0, 0, 0, 0.9)]情景:在钓鱼事件中,想要利用cs.exe木马上线cs,但是cs.exe命名太过于显眼,即使业余人员也会有防备心,本篇文章将cs.exe命名进行一定的隐藏,最终生成:猫咪exe.jpg
[color=rgba(0, 0, 0, 0.9)]效果:伪装exe成jpg后缀 + 吸引眼球的图片内容 = 提高钓鱼成功率
[color=rgba(0, 0, 0, 0.9)]课外话题:免杀分动态免杀和静态免杀,静态免杀制作很简单,动态免杀非常难,此文不讨论免杀安全,实际在实战中,基本都要进行免杀!此文我关闭了防火墙。
攻击步骤一、CS木马制作
[color=rgba(0, 0, 0, 0.9)]1、cs创建一个监听器
[color=rgba(0, 0, 0, 0.9)]
[color=rgba(0, 0, 0, 0.9)]2、生成一个cs.exe执行文件。
[color=rgba(0, 0, 0, 0.9)]
[color=rgba(0, 0, 0, 0.9)]
[color=rgba(0, 0, 0, 0.9)]3、简单测试cs.exe可以成功上线,再进行后续的步骤。
[color=rgba(0, 0, 0, 0.9)]
二、ico图标制作
[color=rgba(0, 0, 0, 0.9)]1、访问网站:http://www.ico51.cn/,上传我们准备的JPG图片,我准备了一张猫咪图片,选择512*512生成ico图标并生成。
[color=rgba(0, 0, 0, 0.9)]
三、WinRAR压缩制作
[color=rgba(0, 0, 0, 0.9)]1、将ceshi.exe和maomi.jpg添加到压缩文件...
[color=rgba(0, 0, 0, 0.9)]
[color=rgba(0, 0, 0, 0.9)]2、勾选:创建自解压格式压缩文件
[color=rgba(0, 0, 0, 0.9)]
[color=rgba(0, 0, 0, 0.9)]3、设置高级 - 自解压选项
[color=rgba(0, 0, 0, 0.9)]
[color=rgba(0, 0, 0, 0.9)]4、指定解压路径:C:\Windows\Temp
[color=rgba(0, 0, 0, 0.9)]注意:ceshi.exe和maomi.jpg 会被解压到 C:\Windows\Temp
[color=rgba(0, 0, 0, 0.9)]
[color=rgba(0, 0, 0, 0.9)]5、设置 - 解压后运行
[color=rgba(0, 0, 0, 0.9)]C:\Windows\Temp\maomi.jpg
[color=rgba(0, 0, 0, 0.9)]C:\Windows\Temp\ceshi.exe
[color=rgba(0, 0, 0, 0.9)]
[color=rgba(0, 0, 0, 0.9)]6、模式设置为静默方式 - 全部隐藏(H)
[color=rgba(0, 0, 0, 0.9)]
[color=rgba(0, 0, 0, 0.9)]7、更新方式
[color=rgba(0, 0, 0, 0.9)]多次解压可能会出现文件已经存在的情况,如果文件存在会询问用户。
[color=rgba(0, 0, 0, 0.9)]建议选择覆盖所有文件或跳过已存在的文件。
[color=rgba(0, 0, 0, 0.9)]覆盖:缺点是如果 exe 程序已经运行那么覆盖会失败。
[color=rgba(0, 0, 0, 0.9)]跳过:如果 exe 文件的参数有修改跳过后则运行的还是旧版本。
[color=rgba(0, 0, 0, 0.9)]建议:每次制作不要用相同的名字。
[color=rgba(0, 0, 0, 0.9)]
[color=rgba(0, 0, 0, 0.9)]8、设置文本和图标 - 浏览 - 刚刚第二步生成的ico图标
[color=rgba(0, 0, 0, 0.9)]
[color=rgba(0, 0, 0, 0.9)]9、生成后的自解压文件如下
[color=rgba(0, 0, 0, 0.9)]
四、exe后缀隐藏制作
[color=rgba(0, 0, 0, 0.9)]1、使用 Unicode 字符修改文件名后缀,右键 - 重命名 - 再次右键 - 插入Unicode - 控制字符 RLO【备注:RLO 表示从右到左、LRO 表示从左到右】
[color=rgba(0, 0, 0, 0.9)]
[color=rgba(0, 0, 0, 0.9)]2、修改时反着输入gpj 完成效果如下,效果还不够理想,文件名存在exe还是没啥用。
[color=rgba(0, 0, 0, 0.9)]
[color=rgba(0, 0, 0, 0.9)]3、再次添加文件名,重命名,在 exe 前面插入 Unicode 控制字符 LRO,此处右键重命名后,将鼠标移到最左边再次右键插入Unicode
[color=rgba(0, 0, 0, 0.9)]注意,别把全部名字改了格式。
[color=rgba(0, 0, 0, 0.9)]
[color=rgba(0, 0, 0, 0.9)]4、最后生成效果如下:猫咪exe.jpg
[color=rgba(0, 0, 0, 0.9)]
[color=rgba(0, 0, 0, 0.9)]5、最终效果,文件有 ico 图标伪装图片的缩略图,文件名后缀.jpg 来伪装文件类型。
[color=rgba(0, 0, 0, 0.9)]6、当然我们只是伪造命名,不要让exe放命名后面,注意exe.是不能去掉的!
五、Win7点击木马文件
[color=rgba(0, 0, 0, 0.9)]1、靶机模拟受害者点击图片,可以看到CS已经成功上线。
[color=rgba(0, 0, 0, 0.9)]
[color=rgba(0, 0, 0, 0.9)]2、完工!
六、总结
[color=rgba(0, 0, 0, 0.9)]1、Cobalt Strike制作的cs.exe木马要能够正常上线(提前放到靶机测试下)
[color=rgba(0, 0, 0, 0.9)]2、文件重命名,第一次测试RLO 和 LRO可能有点绕,多细心测试即可。
[color=rgba(0, 0, 0, 0.9)]3、最终效果中的exe.是不能删除的,因为我们只是通过Unicode编码修改文件命名顺序,实际文件还是.exe执行文件。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-27 20:30 , Processed in 0.013255 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表