【红队入侵】文件钓鱼—RLO构造后缀
【红队入侵】文件钓鱼—RLO构造后缀
一、前景需求
当我们想发送一个木马给身边凌晨两点还在计划打团的室友,帮助他戒网瘾,早睡早起养好身体。我们需要做的准备:
- 公网服务器
- 免杀的exe木马
- 监听的服务端
- Resource Hacker
- winrar 压缩包程序
如下所示:
但是单单的exe 难免让人起疑心,搞不好会挨室友的大拳头。
二、木马图标修改
这里用Resource Hacker
工具,给exe木马上上图标。当然,也有其他相关工具可以使用,这里只是一个示例
另外从网上找来一个类似word 的ico 图标,当然了,这个图标并不是真的,各位可以动手自己制作一个。
打开Resource Hacker
工具,在File中加载exe木马文件,选择Icon Group
,快捷键Ctrl + R
打开替换图标
选中word 图标进行替换
ctrl + s
保存就可以了,它替换之后可能还是原样,多刷新,或者尝试修改文件名。
再尝试下是否还能连接,没有问题
三、木马后缀修改
既然要伪装成word ,我们需要把木马的名称和后缀都改了
先改名称,如关于评选2024年校级优秀应届大学毕业生的通知.exe
再进行RLO插入,再次对文件重命名,在.exe
的前面进行右键,选择插入Unicode 控制字符串(I)
。这里是在虚拟机中的示范,在主机上截图不好截(注意:要先重命名,将光标放在.exe 的前面,再右键)
进行倒叙输入xcod
,后缀就变成了docx
,再测试一下运行效果,是真不错
这样一个基础的word 文档钓鱼就做好了。
但是它双击之后并没有出现word文件,还是会让人起疑心。
四、ZIP 自定义压缩钓鱼
这里我们需要一篇真正的word 文档,如关于评选2024年校级优秀应届大学毕业生的通知.dock
,内容可以写的接近真实一点,不让人怀疑。
对木马和word 文档进行压缩,后面的步骤按照图片一步一步来吧
这里的路径,可以是任意路径,如
1 | // 任何人可以写入的文件路径 |
这里的路径就不多说了,演示效果,我这里用C:\Windows\Temp
。如果想用维持效果记得加双引号
这里要把路径和文件名对应起来,如果中间有空格需要用双引号引起来
就可以了,一路确定即可。
变成了test.exe
再重复一二,修改图标和后缀。最终成品
测试效果,这里木马需不进行后缀修改,得原汁原味的exe 才行
同时也能弹出来word
钓鱼嘛,讲究的是愿者上钩,如果室友这次不上当,那就等待下一个时机。当然,不止word,也可以伪装成其他的东西。