钓鱼文件名反转office远程模板

本文内容涉及程序/技术原理可能带有攻击性,仅用于安全研究和教学使用,务必在模拟环境下进行实验,请勿将其用于其他用途。
因此造成的后果自行承担,如有违反国家法律则自行承担全部法律责任,与作者及分享者无关

0x01 件名反转

在渗透过程中,有时需要通过钓鱼来来传播一些木马文件,而这些木马文件需要精心的伪装。RLO即 Start Of Right-to-Left override。我们可以通过选择插入Unicode控制字符RLO来达到反转文件名的效果
d421c5b12c4bdc1193d98d6269fe6b63.png

以CobaltStrike生成的木马BypassAV.exe为例
1、生成木马文件
eb389b78e97d34bfb6b665d181c75503.png
2e133d739edbd5c0e7794a7069dac7b9.png
679c23c938c0cf29bf80266912d750f7.png
2、加入我们想让这个木马伪装为zip的文件
由于RLO是从右向左的顺序,我们编辑文件选择重命名,在.exe前输入piz
64e99ba9252b24334595f2ad921f51af.png
3、在BypassAV后piz前的位置右键选择Unicode控制字符,然后选择RLO
779126bddec485e490915192ca47dbd4.png
4、查看文件属性文件后缀已经变成了zip
19c9f0ff7cb1147f6480d06f50f943bc.png

0x02 自解压释放执行

自解压是捆绑文件的一种做法,利用WinRAR将正常文件与木马压缩在一起,并创建一个可以自解压的exe文件,在解压过程后可以自动运行释放的文件

操作步骤
1、我们将生成的木马与需要压缩的文件放在同一级目录(也可不同级目录),将木马文件命名为envchk.exe
d6522d12a04d975a5ab31da52767ab0d.png
2、右键全选需要压缩的文件,然后点击"添加到压缩文件"
9d7781f2e0e5b99f92801f44531b46ab.png
3、选择创建自解压格式压缩文件
9c3837fc20c6e4474b80b06f3816301a.png
4、在高级选项中选择自解压选项
aacad76ec467093566df44bc124b242e.png
5、配置解压路径,级运行后程序的释放路径
这里我们配置成C:\PragramData目录
f8e4b3c8f72c8562cbe2b94891602eed.png
6、在设置选项卡中设置程序解压后需要运行的程序
这里的路径填写文件解压后的绝对路径或相对路径
1fe306c51c9eb3257dabbfa56fd3523c.png
7、在模式中的安静模式配置为全部隐藏
43ec378525f0622df58cd63b5d7b734f.png
8、配置快捷方式
在高级>快捷方式中添加快捷方式
89b809aee1c3fa4cc3f58b4bc415f9e4.png
9、点击完成生成自解压包
183e6f6f58a6ee5cc6b7437cf2775cbc.png
10、运行生成的自解压把发现软件可以正常打开,CS也可以正常上线
40a115246d0bff6fd97e847011693b1a.png
查看Programdata目录,可以看到文件是成功释放的
cbf6e94e969063928ebd1bb3cb9217fc.png

0x3 Office加载远程模板

远程宏模板技术,就是利用使用模板创建的文档在启动时会加载模板的原理,将其加载的正常模板替换为带有宏病毒的恶意模板,主要涉及一下两个文档:

1、docx:正常使用模板创建的文档

2、dotm:带有宏病毒的恶意宏模板文件相比与直接发送宏文档,这种方法发送的docx文档会更隐蔽一下,也不会被杀软检测到,因为这个文档本身时不含有宏的。

office远程加载模板
1、首先创建一个宏模板文件
7af70e0ef39e0fd8daa45b279adbc37d.png
2、选择宏位置为当前文档,然后创建宏
dcee4dace7f0861e632bb2e834f31398.png
3、将宏代码写入并保存为dotm文件
bbf9540cbbcb9bb95da305f7e2613990.png
4、将宏模板文件上传至互联网
cd199ac490e28a283ee7373738f468c4.png
5、使用模板创建一个docx文档
0794247224a41f1de4f7161153ecdec7.png
6、将文档保存后,后缀名改成zip格式,并将word_res\settings.xml.res文件解压出来
add266d2fd51ee6603886836ff3e46fe.png
7、修改settings.xml.res中的tartget字段,将其替换为互联网上的宏病毒模板文件,并将文件压缩会文档
4a3d16e6c9974118f6068a9fb61464eb.png
8、打开修改过的文档,看到从文档在打开时从互联网下载了带有宏病毒的模板
8a1161e5f6d94ef395c129da4377f932.png
9、然后点击启用宏,发现CS已上线
5a6f6a54af76103c818ecc29f832c04a.png
4cb9e659e3a744a4815cfc13209bd6ce.png

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/358218.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

hihoCoder 1092 : Have Lunch Together

题目大意:小hi和小ho去咖啡厅喝咖啡,咖啡厅可以看作是n * m的矩阵,每个点要么为空,要么被人、障碍物、椅子所占据,小hi和小ho想要找两个相邻的椅子。起初两个人都在同一个点,求两人到达满足要求的椅子所移动…

html5测试题整理--针对标签的概念性

1.哪个元素被称为媒体元素的子元素&#xff1f; 答案&#xff1a;<track>。 <track> 标签为媒体元素&#xff08;比如 <audio> and <video>&#xff09;规定外部文本轨道。这个元素用于规定字幕文件或其他包含文本的文件&#xff0c;当媒体播放时&am…

Cobalt Strike特征修改

在红蓝对抗以及hvv等等情况下&#xff0c;我们都会用到 Cobalt Strike&#xff0c;那么它也是安全公司重点关注的对象&#xff0c;跟msf类似&#xff0c;但CS操作相对比MSF使用简单&#xff0c;同时也有一个强大的插件库。那么&#xff0c;这么红的工具&#xff0c;特征方面安全…

通用编程准则

本文是我们名为“ 高级Java ”的学院课程的一部分。 本课程旨在帮助您最有效地使用Java。 它讨论了高级主题&#xff0c;包括对象创建&#xff0c;并发&#xff0c;序列化&#xff0c;反射等。 它将指导您完成Java掌握的过程&#xff01; 在这里查看 &#xff01; 目录 1.简…

工厂模式与抽象工厂模式

1、工厂模式&#xff1a;定义了一组创建对象的接口&#xff0c;但是由子类决定要实例化的类是哪一个。工厂方法把类的实例化推迟到子类中。 现在考虑有PizzaStore有一些子类&#xff08;加盟店&#xff09;&#xff0c;他们有可能对pizza的做法进行一些改良&#xff0c;即creat…

数据类型转换为false的有哪些?

看图&#xff0c;看选项你就明白啦

CS通过(CDN+证书)powershell上线详细版

0x00 简介 这个应该叫做域前置技术&#xff1a; 大致图示&#xff1a; 攻击流量通过CDN节点将流量转发到真实的C2服务器CDN节点ip通过识别请求的Host头进行流量转可以有效的躲避一些安全设备&#xff0c;也有这一定的反溯源功能&#xff0c;因为流量都去了CDN上 之前看了一些…

SGU185 Two shortest(最小费用最大流/最大流)

题目求一张图两条边不重复的最短路。 一开始我用费用流做。 源点到1连容量2费用0的边&#xff1b;所有边&#xff0c;连u到v和v到u容量1费用cost的边。 总共最多会增广两次&#xff0c;比较两次求得的费用&#xff0c;然后输出路径。 然而死MLE不过。。 看了题解&#xff0c;是…

那些操作会引起回流(reflow)?

reflow(回流)是指浏览器为了重新渲染部分或者全部的文档,重新计算文档中的元素的位置和几何构造的过程。 因为回流可能导致整个Dom树的重新构造,所以是性能的一大杀手。 以下操作会引起回流&#xff1a; ① 改变窗口大小 ② font-size大小改变 ③ 增加或者移除样式表 …

红蓝对抗之流量加密(Openssl加密传输、MSF流量加密、CS修改profile进行流量加密)

本篇文章转载于:https://blog.csdn.net/q20010619/article/details/122006433?utm_mediumdistribute.pc_relevant.none-task-blog-2defaultbaidujs_utm_term~default-1-122006433-blog-122810834.pc_relevant_default&spm1001.2101.3001.4242.2&utm_relevant_index4 文…

有var d = new Date(‘20xx-m-09‘),可以设置为m+1月份的操作是?

setMonth(n)&#xff0c;这里是0-11分别对应1-12月 d.setDate(n); n表示一个月中的一天的一个数值&#xff08;1 ~ 31&#xff09;: 0 为上一个月的最后一天 -1 为上一个月最后一天之前的一天 如果当月有 31 天: 32 为下个月的第一天 如果当月有 30 天: 32 为下一个月的第二…

如何以及何时使用例外

本文是我们名为“ 高级Java ”的学院课程的一部分。 本课程旨在帮助您最有效地使用Java。 它讨论了高级主题&#xff0c;包括对象创建&#xff0c;并发&#xff0c;序列化&#xff0c;反射等。 它将指导您完成Java掌握的过程&#xff01; 在这里查看 &#xff01; 目录 1.简…

域前置 配置cdn-解决HTTPS-SSL通讯被朔源IP封锁问题

域前置 配置cdn URL -解决HTTPS-SSL通讯被朔源IP封锁问题 https://mp.weixin.qq.com/s/MghFgegdp3l3tFE3hOvcYw

深入理解Java引用类型

深入理解Java引用类型 在Java中类型可分为两大类&#xff1a;值类型与引用类型。值类型就是基本数据类型&#xff08;如int ,double 等&#xff09;&#xff0c;而引用类型,是指除了基本的变量类型之外的所有类型&#xff08;如通过 class 定义的类型&#xff09;。所有的类型在…

值得一谈的鸿蒙2.0,程序员们拿起你们手中的编译器撸一下hello world

一款“面向未来”、面向全场景(移动办公、运动健康、社交通信、媒体娱乐等)的分布式操作系统 。现已开源,名为OpenHarmony。 2019年8月9日,华为在HDC开发者大会上正式发布鸿蒙系统。 2020年9月10日,华为在HDC开发者大会上如约发布鸿蒙 2.0,并面向应用开发者发布Beta版本…

GitHack使用方法

ctf小白刚下载这个&#xff0c;不知道怎么用。现在会用啦就记录一下~ 下载地址&#xff1a;https://github.com/lijiejie/GitHack 下载下来后&#xff0c;通过cmd使用&#xff0c;如下图所示&#xff1a; 总结&#xff08;命令&#xff09;&#xff1a; GitHack.py http://XXXX…

工厂方法模式和抽象工厂模式

有一个抽象的产品类 Product 具体的产品类 Product1 Product2.。。。 工厂方法&#xff1a; 1、创建抽象的工厂类&#xff1a;Creator&#xff1a; public abstract class Creator{ public abstract <T extends Product> T createProduct(Class<T> c); } 2、具体实…

值得一谈的鸿蒙2.0,赶紧撸一下hello world

一款“面向未来”、面向全场景&#xff08;移动办公、运动健康、社交通信、媒体娱乐等&#xff09;的分布式操作系统 。现已开源&#xff0c;名为OpenHarmony。2019年8月9日&#xff0c;华为在HDC开发者大会上正式发布鸿蒙系统。2020年9月10日&#xff0c;华为在HDC开发者大会上…

key 和secret_Java Secret:加载和卸载静态字段

key 和secret总览 首先&#xff0c;很自然地假设静态字段具有特殊的生命周期&#xff0c;并且在应用程序的生命周期中一直存在。 您可以假设它们存在于内存中的特殊位置&#xff0c;例如C或类元信息的perm gen中的内存开始。 但是&#xff0c;得知静态字段驻留在堆上&#xff…

【Jenkins】未授权访问漏洞

一、漏洞介绍 1 ) Jenkins介绍 Jenkins是一个基于Java开发的开源项目&#xff0c;可在Tomcat等流行的servlet容器中运行&#xff0c;也可以独立运行&#xff0c;其功能如下&#xff1a; 用于持续性、自动的构建/测试软件项目监控或跑一些定时任务监控外部调用执行的工作 2 …