渗透测试信息收集技巧(10)——Office钓鱼和钓鱼攻击

office钓鱼

在无需交互、用户无感知的情况下，执行Office文档中内嵌的一段恶意代码从远控地址中下载并运行恶意可执行程序。例如:远控木马或者勒索病毒等。

Cobalt Strike钓鱼

word操作

点击上方标签视图标签，在该标签中点击宏按钮，弹出的对话框中输入宏名字，然后单击创建按钮。

首先清空所有代码，然后将复制的代码粘贴到编辑器中，关闭宏编辑窗口保存退出，双击再次运行保存的文档。

当目标机器运行文档以后，Cobalt Strike会接受到目标机器反弹的shell

目标进程会增加一个rundl32.exe进程

钓鱼攻击

• CHM钓鱼
• LNK钓鱼
• HTA钓鱼

CHM钓鱼

CHM(Compiled Help Manual)即“已编译的帮助文件"。它是微软新一代的帮助文件格式，利用HTML作源文，把帮助内容以类似数据库的形式编译储存。利用CHM钓鱼主要原因是因为该文档可以执行cmd命令。

制作软件 : EasyCHM

首先创建一个根目录，文件名任意，在文件内部创建两个目录和一个index.html文件，两个文件夹内部创建任意文件名的html文件。

将下列代码复制到index.html文件中

启动EasyCHM软件，点击工具栏新建按钮，弹出的对话框中点击浏览按钮，选择创建的根目录，文件类型保持一致，点击确定，最后点击工具栏编译按钮，弹出的对话框中点击生成CHM按钮。

双击打开创建的CHM文件。

接下来生成钓鱼文件。启动Cobalt Strike软件，点击菜单attacks->web Drive by->scripted web Delivery ，弹出的对话框中，type类型设置powershel，单击launch按钮，用代码将index.html中calc.exe替换。

双击运行CHM文件，主机立刻上线，运行执行带有powershel命令的CHM文件，屏幕出现闪现一个黑框。

LNK钓鱼

Ink文件是用于指向其他文件的一种文件。这些文件通常称为快捷方式文件通常它以快捷方式放在硬盘上，以方便使用者快速的调用。Ink钓鱼主要将图标伪装成正常图标，但是目标会执行she命令。

制作软件 : powershell生成图标

powershell生成图标，在生成图标代码文件夹中建立test.txt文件，文件内容如下图，再执行

cmd /c calc.exe

编译powershel文件内容后执行生成Ink文件，系统将打开计算器。

利用Cobalt Strike 生成powershel shel代码生成方法

点击菜单attacks->web Drive by->scripted web Delivery，弹出的对话框中，type类型设置powershell，单击launch按钮，复制生成代码将代码替换test.txt中calc.exe，内容重新编译powershell代码。

HTA钓鱼

HTA是HTML Application的缩写，直接将HTML保存成HTA的格式，是一个独立的应用软件。

HTA虽然用HTML、JS和CSS编写，却比普通网页权限大得多,它具有桌面程序的所有权限。

Cobalt Strike 生成HTA文件

点击attacks->packages->HTML Application，弹出的对话框中method选择powershell，点击generate弹出的窗口中选择保存位置，单击确定。

双击运行hta文件，Cobalt Strike收到主机上线。

本文档所提供的信息仅用于教育目的及在获得明确授权的情况下进行渗透测试。任何未经授权使用本文档中技术信息的行为都是严格禁止的，并可能违反《中华人民共和国网络安全法》及相关法律法规。使用者应当合法合规地运用所学知识，不得用于非法入侵、破坏信息系统等恶意活动。我们强烈建议所有读者遵守当地法律与道德规范，在合法范围内探索信息技术。

我正在参与2024腾讯21天技术创作挑战赛｜年中回顾特别季，年中技术沉淀，拯救你的flag，快来和我瓜分大奖！