【红队入侵】文件钓鱼—RLO构造后缀

一、前景需求

当我们想发送一个木马给身边凌晨两点还在计划打团的室友,帮助他戒网瘾,早睡早起养好身体。我们需要做的准备:

  1. 公网服务器
  2. 免杀的exe木马
  3. 监听的服务端
  4. Resource Hacker
  5. winrar 压缩包程序

如下所示:image-20240606205723891

但是单单的exe 难免让人起疑心,搞不好会挨室友的大拳头。

二、木马图标修改

这里用Resource Hacker工具,给exe木马上上图标。当然,也有其他相关工具可以使用,这里只是一个示例

image-20240606210010305

另外从网上找来一个类似word 的ico 图标,当然了,这个图标并不是真的,各位可以动手自己制作一个。

image-20240606210151419

打开Resource Hacker工具,在File中加载exe木马文件,选择Icon Group,快捷键Ctrl + R打开替换图标

image-20240606210433007

选中word 图标进行替换

image-20240606210937912

ctrl + s 保存就可以了,它替换之后可能还是原样,多刷新,或者尝试修改文件名。

image-20240606211538439

再尝试下是否还能连接,没有问题

image-20240606212034856

三、木马后缀修改

既然要伪装成word ,我们需要把木马的名称和后缀都改了

先改名称,如关于评选2024年校级优秀应届大学毕业生的通知.exe

再进行RLO插入,再次对文件重命名,在.exe的前面进行右键,选择插入Unicode 控制字符串(I)。这里是在虚拟机中的示范,在主机上截图不好截(注意:要先重命名,将光标放在.exe 的前面,再右键)

image-20240606213201121

进行倒叙输入xcod,后缀就变成了docx,再测试一下运行效果,是真不错

image-20240606214310982

这样一个基础的word 文档钓鱼就做好了。

但是它双击之后并没有出现word文件,还是会让人起疑心。

四、ZIP 自定义压缩钓鱼

这里我们需要一篇真正的word 文档,如关于评选2024年校级优秀应届大学毕业生的通知.dock,内容可以写的接近真实一点,不让人怀疑。

image-20240606214637147

对木马和word 文档进行压缩,后面的步骤按照图片一步一步来吧

image-20240606214752171

image-20240606214819374

image-20240606215019098

这里的路径,可以是任意路径,如

1
2
3
4
5
// 任何人可以写入的文件路径
C:\Windows\Temp

// 具有权限维持效果的
"C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"

这里的路径就不多说了,演示效果,我这里用C:\Windows\Temp。如果想用维持效果记得加双引号

image-20240606215238441

image-20240607123107078

这里要把路径和文件名对应起来,如果中间有空格需要用双引号引起来

image-20240606215607379

image-20240606215620154

就可以了,一路确定即可。

image-20240606215652648

变成了test.exe

再重复一二,修改图标和后缀。最终成品

image-20240606215957542

测试效果,这里木马需不进行后缀修改,得原汁原味的exe 才行

image-20240606220822819

同时也能弹出来wordimage-20240606220852058

钓鱼嘛,讲究的是愿者上钩,如果室友这次不上当,那就等待下一个时机。当然,不止word,也可以伪装成其他的东西。