天道酬勤

权限维持篇-快捷方式与后门

lnk

lnk文件是用于指向其他文件的一种文件。 这些文件通常称为快捷方式文件,通常它以快捷方式放在硬盘上,以方便使用者快速的调用。

lnk后门研究

在翻阅了大量资料以后,我总结出lnk后门主要存在两种形式:

  1. 为恶意进程创建快捷方式,并将其加入启动程序。
  2. 利用当前用户现有的快捷方式进行迷惑,达到既能开启原程序,又能执行恶意程序的效果。

SharPersist

这是一个由C#语言开发的后门工具,功能非常全,他可以帮助我们实现快捷方式后门的利用。

项目地址:SharPersist

此工具不仅仅能创建快捷方式后门,其他的一些常见后门都是可以利用的,自行查看即可,这里就不再多做研究。

在使用此工具之前,需要目标机器配置好.Net_V4.0环境,我使用的Win7靶机达不到此版本,所以需要下载.Net4.0,下载地址:Microsoft .NET Framework 4

但后来我用了win10做实验。

否则运行时,会如下:

生成后门的命令如下:

SharPersist.exe -t startupfolder -c "cmd.exe" -a "/c C:\Windows\system32\calc.exe" -f "Internet Explorer" -m add

-t 选择的持久性技术

-a 执行命令的参数

-f 生成的文件名

由结果可以看出,其生成了一个lnk快捷方式,放置在此目录:

C:\Users\Gu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

此目录中存放的是自启动软件.

生成了一个IE浏览器的快捷方式,我们右击–>属性,查看该快捷方式的目标:

C:\Windows\system32\cmd.exe /c C:\Windows\system32\calc.exe

很清楚的意思,利用cmd运行了calc。

原理

此后门的原理就是为恶意文件创建伪造了一个IE浏览器的快捷方式,并将其加入启动程序,当我们开机时,系统自动执行该快捷方式。

所以,在系统的设置–>应用–>启动中,我们会看到一个cmd的启动项。

绑定正常程序

上面的方法是系统自动运行的,那我们该如何诱导用户点击后门程序呢?

我看好了谷歌浏览器。

右击属性,查看目标

"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"

替换为cmd启动:

C:\Windows\System32\cmd.exe /c "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"

我尝试了很久,使用cmd命令似乎无法同时运行两个程序,如果要同时运行两个程序的话,似乎要写bat脚本了,但有些麻烦。

Powershell

我们可以利用powershell来完成两个应用的启动。

首先,右击谷歌浏览器快捷方式,点击属性,查看目标

使用如下命令:

powershell.exe -c "invoke-item 'C:\Program Files (x86)\Google\Chrome\Application\chrome.exe'; invoke-item c:\windows\system32\calc.exe"

程序启动路径含有空格的一定要带引号。

我们将此命令复制到谷歌浏览器快捷方式的属性目标中,就可以做到既启动谷歌浏览器又打开计算器的操作了。

解决问题

图标问题:
修改完目标之后,图标成为如下:

解决方案:点击更改图标,选择谷歌文件夹中的谷歌图标即可。

启动小黑框问题:

启动过程如下:

在启动之前,会产生一个cmd窗口。

解决方案:将运行方式改为最小化即可。

不足

鼠标停滞在图标上显示如下,并且暂无解决方案,修改备注也没有效果。

总结

本篇只做快捷方式后门的基础研究,另外关于此后门的利用工具有很多,列下地址:

lnk2pwn
lnkup
Ttricky.lnk

可自行探索研究。

参考文章:Persistence – Shortcut Modification

请勿用于非法用途!

 

赞(1) 打赏
未经允许不得转载:HackerGu‘s Blog » 权限维持篇-快捷方式与后门
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

专注黑客技术的研究

联系我们联系我们

觉得文章有用就打赏一下文章作者

微信扫一扫打赏