前言

文件钓鱼是红蓝对抗中红队经常使用的攻击手段，相反蓝队也可以通过反钓鱼的手段来对红队进行反制，获取分值。

红队钓鱼利用

伴随着邮件沙箱，恶意行为检测等技术的发展，传统文件钓鱼攻击严重增加，可以使用dll劫持技术劫持一个正常的软件，进行重打包。然后以版本更新或其他理由进行下发，通过安装过程逼真且安装后软件可以正常使用，因此可以大大降低目标的警觉性。

蓝队反钓鱼利用

随着红蓝对抗的常态化，蓝队反制红队的手段也逐渐被认识，出现越来越多的蜜罐系统，蜜罐主机，甚至蜜罐内网，反钓鱼也逐渐被蓝队意识到，通过在服务器上随意放置钓鱼文件，吸引红队主动下载安装，完成反钓鱼。

dll劫持

首先准备恶意dll文件，可以选择cs和msf生成的dll文件，也可以自己制作免杀的dll文件。
这里我使用cs自带的dll木马进行演示。

然后选择想要劫持的正常软件，这里以蓝队反钓鱼进行演示，选择劫持某人vpn。
首先下载安装某人vpn。

开始进行劫持，有窗户逆向基础的可以手动进行劫持，这里我直接使用拿破轮胎的一键dll注入工具。

点击劫持文件，选择生成成功的dll文件和目标某人vpn的exe文件，把dll文件注入到导入表中。

提示导入成功，然后把恶意dll和exe放到一个目录下

dll文件被成功加入目标exe的导入表。

双击运行，cs成功接收到会话，劫持成功。

重打包安装包

下一步将已经被dll劫持的某人vpn进行重新打包成安装包。在
这里使用NSIS工具。
下载安装nsis工具http://www.pc6.com/softview/SoftView_14342.html

点击可视化脚本编辑器，选择使用脚本向导创建新的脚本文件。

配置对应的应用程序信息，单击下一步。

选择对应安装程序的图标文件，以及名称，继续下一步。

使用替换设置，继续下一步。

继续下一步。

指定劫持过的应用程序文件夹，注意重置包含子目录。

编辑快捷方式。

设置安装完成后自动运行。

使用开关设置。

向导完成。

编译打包成功。

运行打包后的安装程序。


成功运行，cs成功上线。
发现快捷方式没有创建成功，修改代码增加快捷方式，重新编译打包。

CreateShortCut "$DESKTOPEasyConnectdll.lnk" "$INSTDIRSangforCSClientSangforCSClient.exe" "" "$INSTDIRSangforCSClientEasyConnect.ico"

成功生成快捷方式，cs上线。

想到的实战中蓝队应用思路有：
1、配合蜜罐系统，蜜罐主机，蜜罐内网使用。
2、在网站目录下伪造一个www.rar，并把vpn安装包和密码放入其中，吸引红队人员安装。
3、放置于可能被攻陷的服务器上，一旦被点击安装，即说明服务器已沦陷，从而进行反制。
等等...

坑点

1，当exe关闭后，dll运行也被终止，因此当目标上线后需要第一时间迁移会话到其他运行的程序上。

inject 9268 x64

2，cs或者msf自动生成的dll文件会被杀软检测到，因为需要自己去制作免杀的dll文件。
可以通过shellcode加载器，分离免杀，powershell免杀等思路去制作dll文件。
使用了团队雨夜师傅远程远程注入的免杀方式，制作了dll文件，成功bypass360。
远控免杀从入门到实践（8）-shellcode免杀实践

cs成功上线。

总结

以后遇到这种情况一定要冷静，谨慎，多思考，防止被反钓鱼〜

参考链接

https://mp.weixin.qq.com/s/qjM7Fh0u0Edsz5C7L_ErGQ
https://uknowsec.cn/posts/notes/DLL%E5%8A%AB%E6%8C%81+%E9%87%8D%E6% 96％B0％E5％88％B6％E4％BD％9C％E5％AE％89％E8％A3％85％E5％8C％85％E5％9C％A8％E9％92％93％E9％B1％ BC％E4％B8％8E％E5％8F％8D％E9％92％93％E9％B1％BC％E7％9A％84％E5％88％A9％E7％94％A8.html
https://www.cnblogs.com/modou/p/3573772.html
https://www.freebuf.com/articles/system/228233.html