iexpress是Windows操作系统中自带的一个CAB自解压文件制作向导工具。
可以用来制作程序安装包等。制作完成的文件是一个exe程序。
但是它自带的一些功能,和winrar制作的自解压exe很像,支持解压完成后自动运行压缩包内的某个程序,或者执行自定义系统命令。
随便添加一个文件,作为要释放的文件,可以为任意文件
重点是下面这一步,第一个选择框,Install Program,本应该是从解压目录中选择一个文件,再自解压完成后会自动运行该文件的。
经过测试,填写系统中自带exe的全路径也可以执行,比如
c:\windows\system32\cmd.exe
第二个下拉框,Post Install Command 是在上面的程序结束之后才运行的。
除此之外,还可以设置为隐藏窗口执行,这样双击自解压程序时,就不会有任何界面出现。
最后就是这次安装是否需要重启、或强制重启,这里选择不重启
运行刚才制作好的自解压安装包,可以看到该程序,虽有微软的公司描述信息,但是缺没有签名,更没有界面显示,很容易触发杀软启发式规则引擎的查杀。
再来看进程链,Install Program已经执行了,cmd.exe
当我们kill掉cmd进程后,我们设置的Post Install Command 要执行的calc才开始执行
由于iexpress支持两次执行系统命令,或者程序的机会,可以结合其他系统白利用程序,如msiexec.exe、certutil.exe等来组合完成远程下载执行payload的功能。