首先,准备两个文件,一个是诱饵文件,一个是木马文件
我这里准备一个正常的pdf作为诱饵文件,一个bat作为木马文件(也可以换成exe等执行文件)
然后新建一个文件夹,用来方便打包这两个文件的,我这里取名为111
接下来使用python来移动文件,以及重命名文件
因为这里有重复名字的文件于文件夹,在win10的文件夹管理器中会提示命名失败,所以需要使用代码来命名
首先,在111文件夹里创建一个文件夹"1.pdfA"
(由于公众号这里显示部分代码为白色,所以只能使用截图了)
然后把诱饵文件以及木马文件一起放进去,注意,木马文件需要放到“1.pdfA”文件夹里,并命名为“1.pdfA.bat”
诱饵文件放进111文件夹里,并命名为“1.pdfB”
然后把111这个文件夹打包起来
接着,使用二进制方式读取这个压缩包,并且替换里面"A"和"B"为空格
最后把这个修改后的数据保存到一个新的压缩包里
这时,使用winrar打开a.7z
然后点击1.pdf文件
原理存在!实践开始!
写一个简单的免杀
不了解该加密免杀的可以参考之前发的文章
emoji免杀
凌风子虚,公众号:HB网络安全探究实验室[骚思路免杀]emoji免杀
用pyinstaller打包一下,加上-w参数去掉黑窗口
然后准备一张小喵的照片(哪个猛男师傅不喜欢),命名为1.jpg
代码如下:
这里,使用了一个ctf题的名字来钓鱼
运行脚本,生成压缩包
ok,使用winrar打开
点击jpg
ok,成功上线
由于虚拟机(里面有杀软三巨头)的网络配置有问题,所以只能看vt
关于那个exe木马,单独扫描的结果如下:卡巴依然不出来
最后,再来点讽刺的,该cve的影响是winrar <= 6.22
而国内的winrar的版本是。。。
原文始发于微信公众号(HB网络安全探究实验室):WinRAR最新漏洞如何骚玩-原理讲解
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论