APT攻击之HTML Payload利用
1.在cobaltstrike4客户端创建监听
2.在客户端:攻击>生成后门>HTTP Application中生成payload,默认选择PowerShell,相当于Linux的shell编程页面,代码和各方面的功能强于cmd命令行。
生成后为.hta格式,.hta格式是html的应用程序(一个缩写),是一个独立的应用软件,下面的步骤就是要将生成的hta病毒放置在Kali的服务端cobaltstrike4下面,用来做钓鱼攻击,这一步就是将Kali作为一个小型的服务器,原理就是一个小型的钓鱼网站,当用户访问服务端设置好的IP地址后,自动跳转到下载的页面,实现病毒下载。
3.开启Kali服务端,查看文件的上传情况
http://192.168.255.132:80/uoloads/evil.hta
病毒文件已经上传到Kali服务端/mnt/cobaltstrike4/uploads/目录下面;
4.在cobaltstrike4客户端攻击面板中,启用网站克隆功能,在” attack”选项中填写我们生成好的病毒路径,这样当用户打开网页后,一旦保存或运行了网页弹窗提示的内容,就将hta病毒启用,此为典型的hta(http应用程序)攻击,并且要开启键盘记录,以记录用户的键盘行为;
此为用户访问的默认地址:http://192.168.255.132:80/,克隆成功后,用户访问,则会跳转到被克隆的网站的首页
这个时候,浏览器会有如下提示:
如果这个时候,用户点击保留,此时远程就会上线,客户端就能够检测到,如下图所示:
此时在此网页中键盘输入,就可以被检测到
值得一提的是,键盘记录在客户端web日志选项里面。
本文来自博客园,作者:田家少闲月-,转载请注明原文链接:https://www.cnblogs.com/zhaoyunxiang/p/15330638.html
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· [.NET]调用本地 Deepseek 模型
· 一个费力不讨好的项目,让我损失了近一半的绩效!
· .NET Core 托管堆内存泄露/CPU异常的常见思路
· PostgreSQL 和 SQL Server 在统计信息维护中的关键差异
· C++代码改造为UTF-8编码问题的总结
· 一个费力不讨好的项目,让我损失了近一半的绩效!
· 清华大学推出第四讲使用 DeepSeek + DeepResearch 让科研像聊天一样简单!
· 实操Deepseek接入个人知识库
· CSnakes vs Python.NET:高效嵌入与灵活互通的跨语言方案对比
· Plotly.NET 一个为 .NET 打造的强大开源交互式图表库