-
-
[旧帖] [分享][讨论]浅谈lnk快捷方式病毒 0.00雪花
-
发表于: 2016-1-2 14:47
-
小菜一个,正在学习中,大牛飘过就好。
引:10年的时候,在卡饭上看到有快捷方式病毒,自己在打印店里也中过类似的病毒,当时自己还觉得很诡异,快捷方式居然也能当成病毒?当然了,这个lnk病毒利用的是explorer解析lnk文件(这个是我猜的,不过漏洞是真实存在的)的漏洞 CVE-2010-2568,导致恶意代码执行。
不过今天说的和上面说的不同,倒不是漏洞利用,小菜还没到那个地步,只是说说快捷方式也有可能成为病毒。前几天看到powertool大牛作者在微信公众号上发的一个利用单文件快捷方式构造的病毒,觉得挺新奇,就想去实现下。
搞安全的,思想最重要,思想有了,其次才是去实现。
忘了哪个大牛说过的了,造成漏洞的根本原因就是用户输入的数据跟可执行代码混一块了。那么我们也可以换个角度理解下,数据即代码,代码即数据,如果数据可以执行了,那么可以干的坏事就太多了。回到本篇文章的主题,通常情况下,快捷方式的后缀名是看不到的,不过用工具例如powertool或者pchunter可以看到这个快捷方式的后缀名是 .lnk;同时在快捷方式上右键可以查看一个快捷方式的指向,这就说明快捷方式本身也是一种文件,并且其后缀名为.lnk,只不过explorer把后缀名隐藏了,并且部分解析了这个文件,可以把它和某个文件或者可执行文件关联起来。
理解了这一步,那么我们可以精心构造一个.lnk文件,利用其指向cmd.exe或者wscripte,然后执行代码,并且从自身中读取部分代码出来构造成脚本文件或者可执行文件,那么单快捷方式的病毒也就完成了。
为什么说用快捷方式,直接写个exe岂不是更好,这么做不是脱裤子放屁吗?其实不然,因为大家对快捷方式的戒备心很低,并且右键可以修改快捷方式的图标,可以改成常见的文档图标,然后再改下后缀名,有极强的欺骗性和迷惑性,更容易骗被攻击方去运行。
附件是个 lnk方式的joker,用的是文本文件图标和txt后缀。
Document.zip
引:10年的时候,在卡饭上看到有快捷方式病毒,自己在打印店里也中过类似的病毒,当时自己还觉得很诡异,快捷方式居然也能当成病毒?当然了,这个lnk病毒利用的是explorer解析lnk文件(这个是我猜的,不过漏洞是真实存在的)的漏洞 CVE-2010-2568,导致恶意代码执行。
不过今天说的和上面说的不同,倒不是漏洞利用,小菜还没到那个地步,只是说说快捷方式也有可能成为病毒。前几天看到powertool大牛作者在微信公众号上发的一个利用单文件快捷方式构造的病毒,觉得挺新奇,就想去实现下。
搞安全的,思想最重要,思想有了,其次才是去实现。
忘了哪个大牛说过的了,造成漏洞的根本原因就是用户输入的数据跟可执行代码混一块了。那么我们也可以换个角度理解下,数据即代码,代码即数据,如果数据可以执行了,那么可以干的坏事就太多了。回到本篇文章的主题,通常情况下,快捷方式的后缀名是看不到的,不过用工具例如powertool或者pchunter可以看到这个快捷方式的后缀名是 .lnk;同时在快捷方式上右键可以查看一个快捷方式的指向,这就说明快捷方式本身也是一种文件,并且其后缀名为.lnk,只不过explorer把后缀名隐藏了,并且部分解析了这个文件,可以把它和某个文件或者可执行文件关联起来。
理解了这一步,那么我们可以精心构造一个.lnk文件,利用其指向cmd.exe或者wscripte,然后执行代码,并且从自身中读取部分代码出来构造成脚本文件或者可执行文件,那么单快捷方式的病毒也就完成了。
为什么说用快捷方式,直接写个exe岂不是更好,这么做不是脱裤子放屁吗?其实不然,因为大家对快捷方式的戒备心很低,并且右键可以修改快捷方式的图标,可以改成常见的文档图标,然后再改下后缀名,有极强的欺骗性和迷惑性,更容易骗被攻击方去运行。
附件是个 lnk方式的joker,用的是文本文件图标和txt后缀。
Document.zip
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
