网络安全——cobalt Strike 之office钓鱼

一、office钓鱼

在无需交互、用户无感知的情况下,执行office文档中内嵌的恶意代码,例如宏,从远控地址中下载并运行恶意可执行程序,例如远控木马、勒索病毒等

cobalt strike office钓鱼原理:主要生成一段vba代码,然后将代码复制到office套件中,当用户启动office时自启动

二、cobalt strike操作

1.登陆kali服务器,在CS目录下,赋予teamserver文件运行权限(命令:chmod +x teamserver),然后运行CS服务端程序。

网络安全——cobalt Strike 之office钓鱼_第1张图片

 2、登陆攻击机,找开CS客户端,登陆CS。

网络安全——cobalt Strike 之office钓鱼_第2张图片

3、添加监听端口。

网络安全——cobalt Strike 之office钓鱼_第3张图片

 网络安全——cobalt Strike 之office钓鱼_第4张图片

下图是在服务端显示为监听端口已启动。

 网络安全——cobalt Strike 之office钓鱼_第5张图片

4、制作office宏脚本文件

选择attacks中的packages,在展开的菜单中选择MS Office Maco

网络安全——cobalt Strike 之office钓鱼_第6张图片

网络安全——cobalt Strike 之office钓鱼_第7张图片

 点击生成后,弹出宏文件制作步骤说明。

网络安全——cobalt Strike 之office钓鱼_第8张图片

 按照步骤说明,打开一个word文档,选择视图中的,在下拉菜单中,选择查看宏

网络安全——cobalt Strike 之office钓鱼_第9张图片

在宏的位置处,选择当前文档

网络安全——cobalt Strike 之office钓鱼_第10张图片

 然后,输入宏名,点击创建。

网络安全——cobalt Strike 之office钓鱼_第11张图片

在弹出的宏框中,清除原有宏的内容。

 网络安全——cobalt Strike 之office钓鱼_第12张图片

 然后,点击CS中的Copy Macro(复制宏),并粘贴至文档的宏框中。

网络安全——cobalt Strike 之office钓鱼_第13张图片

 网络安全——cobalt Strike 之office钓鱼_第14张图片

 然后,保存为一个启动宏的word文档(此处可以先保存为后缀为docm文档,保存成功后,复制一份去掉后缀中的m即可。

网络安全——cobalt Strike 之office钓鱼_第15张图片

 网络安全——cobalt Strike 之office钓鱼_第16张图片

 网络安全——cobalt Strike 之office钓鱼_第17张图片

 

实验环境下,我们将制作好的文档,复制到受害机中,实际的攻击场景中,可通过邮件、社工等方式,完成样本投递。

此处,我们可以在当前目录下,使用python自动的模块,启动一个简易的网站服务python -m http.server 8888,该命令意思是在当前路径为网站根目录,启动一个端口为8888的网站服务器。

网络安全——cobalt Strike 之office钓鱼_第18张图片

然后受害机上,使用浏览器访问攻击机的IP和端口,下载这个文件。

 网络安全——cobalt Strike 之office钓鱼_第19张图片

网络安全——cobalt Strike 之office钓鱼_第20张图片

受害机打开这个文件时,在攻击机中,发现受害机成功上线。

 网络安全——cobalt Strike 之office钓鱼_第21张图片

 


 CVE-2017-11822

网络安全——cobalt Strike 之office钓鱼_第22张图片

网络安全——cobalt Strike 之office钓鱼_第23张图片

 


 这篇文章就写到这里了!

你可能感兴趣的:(网络安全,web安全,安全,网络)