用户
搜索
  • TA的每日心情
    奋斗
    昨天 11:48
  • 签到天数: 80 天

    连续签到: 2 天

    [LV.6]常住居民II

    i春秋作家

    Rank: 7Rank: 7Rank: 7

    27

    主题

    115

    帖子

    393

    魔法币
    收听
    2
    粉丝
    4
    注册时间
    2017-12-4

    i春秋认证幽默灌水王春秋文阁积极活跃奖i春秋签约作者

    发表于 2017-12-27 17:19:26 247635
    今天向大家提个醒,最近有一款工具名叫FackImageexploer,该工具能够将恶意的.bat和.exe程序与图片绑定在一起,假若受害者点击了图片,就会反弹个shell给不法分子,如此我们就被别人控制了。这里讲述下不法分子是如何利用这个工具去生成恶意图片。

    首先,在Kali中输入以下地址去下载我们的工具:
    下载成功后,进入FackImageExploer文件夹,找到Settings文件进行配置。
    1.png

    1.png

    这里可以修改需要绑定的图片格式和隐藏在图片中的Payload格式,有ps1、bat、txt、exe四种格式可选。 1.png

    在生成捆绑图片文件的替换图标icon选项中,我们选择BYPASS_RH=NO,非自动,需要手动更改和添加最终生成的图片图标icon。      1.png

    找到如下配置:AUTO_PAYLOAD_BUILD=YES(自动生成PAYLOAD选项)AGENT_HANDLER_PORT=6666(监听端口) 1.png

    完成相关配置后,就可启动我们的工具了.
    1.png


    注意:运行此工具前会有个环境检测,诸如红酒杯之类的,如下所示。检测完毕后,启动框架。
    1.png

    选择相应的攻击载荷,这里我们选择windows/meterpreter/reverse_tcp。
    1.png

    选择完攻击载荷后,会卡一下,之后选择需要绑定后门的图片。

    下面这一步是选择最终图片文件的替换图标icon主题:     
    1.png
    为生成的文件命名。
    1.png
    FakeImageExploiter最后会生成在两个位置生成恶意图片文件,一个为本机Apache2 web服务的根目录下的.zip文件,另外为FakeImageExploiter输出文件夹(output)下的隐藏后缀恶意图片文件,点击执行后,该文件在显示jpg图像的同时,还会隐秘生成一个连向控制主机的反弹管理会话:

    1.png

    后面步骤相同,这里就不演示了,这个工具会自带一个监听框架去监听端口,如果不喜欢的话,大家可以去使用Kali中msf的监听。最后,希望大家注意,不要轻易点击一些来路不明的图片,特别是男同胞们,极易被美女图片所吸引,别人就是利用这种心理去干坏事。我们可以考虑开启防火墙之内的防护软件,假若不小心点了可疑图片,可以查看系统进程,是否有可疑进程,有的话可以杀死,一般情况下,不法分子还会将进程写进启动项,所以我们还要将启动项查一下,这样才能做到防护。

    评分

    参与人数 1魔法币 +5 收起 理由
    iamkill + 5

    查看全部评分

    低调求发展,潜心学安全
    发表于 2017-12-28 16:54:25
    Smile 发表于 2017-12-28 16:43
    这只是换了个图标吧,其实还是exe文件

    不是哦,这个工具会生成两个文件的,一个是图中的test.jpg.exe,另外一个在Apache目录下,是个图片,你打开任然是图片,但你已经中招了。
    低调求发展,潜心学安全
    使用道具 举报 回复
    发表于 2017-12-28 10:56:17
    琴心丶剑胆 发表于 2017-12-28 10:01
    感谢分享,平常都24小时开着防火墙和360,稍微不对劲一点的网站都用360浏览器打开的,带危险标志都用虚拟机 ...

    做到这样已经可以了,除非有人特意针对你
    低调求发展,潜心学安全
    使用道具 举报 回复
    发表于 2017-12-28 16:55:14
    Mr张yz 发表于 2017-12-28 14:43
    大佬,我有问题,两个不同内网之间如何进行通信,还是说黑客用的公网IP? ...

    那就得用到公网了,也就是我们常说的内网穿透
    低调求发展,潜心学安全
    使用道具 举报 回复
    感谢分享,平常都24小时开着防火墙和360,稍微不对劲一点的网站都用360浏览器打开的,带危险标志都用虚拟机开的。这样应该安全一点了吧。。。
    使用道具 举报 回复
    夜莺 发表于 2017-12-28 13:44
    你没有mingw32环境问题
    你应该是kali2017吧,17可能有点问题

    或者求个同版本 虚拟机VMX下载地址
    使用道具 举报 回复
    发表于 2017-12-28 13:44:03

    你没有mingw32环境问题
    你应该是kali2017吧,17可能有点问题
    低调求发展,潜心学安全
    使用道具 举报 回复
    iamkill 发表于 2017-12-27 21:14
    这里的图片是一个文件?别人一下载就可以控制?

    应该是点击才会生效吧?
    使用道具 举报 回复
    有一个比较尴尬的问题啊  打开图片的时候 会先执行打开BAT 然后再执行打开图片的操作
    使用道具 举报 回复
    发表于 2017-12-27 21:14:48
    这里的图片是一个文件?别人一下载就可以控制?
    使用道具 举报 回复
    发表于 2017-12-27 22:30:34
    厉害了,感谢作者的分享
    使用道具 举报 回复
    发表于 2017-12-27 23:40:52
    生成的样本查杀情况怎么样?
    使用道具 举报 回复
    发表于 2017-12-28 09:19:57
    K1nstin 发表于 2017-12-27 23:40
    生成的样本查杀情况怎么样?

    这里未做免杀
    低调求发展,潜心学安全
    使用道具 举报 回复
    发表于 2017-12-28 10:51:45
    厉害了,神器!学习一下
    使用道具 举报 回复
    发表于 2017-12-28 12:05:48
    不懂,是指什么?指网站里面的图片点一下就gg?还是下载之后点一下gg
    使用道具 举报 回复
    发表于 2017-12-28 13:24:17
    1F})FXZUXR]9XP$O_WN(RNA.png 怎么回事
    使用道具 举报 回复
    发表于 2017-12-28 13:47:14
    缺少mingw32[64]  在哪下载啊 求解决
    使用道具 举报 回复
    发表于 2017-12-28 14:01:29
    小鸡2017 发表于 2017-12-28 13:48
    或者求个同版本 虚拟机VMX下载地址

    我用的是16kali,自己配的环境
    低调求发展,潜心学安全
    使用道具 举报 回复
    12下一页
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册