文章目录
- 宏病毒(宏钓鱼)
- 快捷方式钓鱼
- shellQMaker bug
- 伪装pdf文件上线
宏病毒(宏钓鱼)
启动teamsever服务器,具体过程请参考我之前的文章:
在主机中启动CS客户端,111是真实机的用户:
创建一个Word文档,在视图中点击宏:
随便输入宏名并创建:
创建成功:
创建成功后打开CS,点击payload中的MS office Macro:
选择之前创建的监听端口,逐步点击:
生成payload后点击复制:
复制后将payload粘贴到新建的宏中:
保存后退出新建的Word文档,重新打开,打开后宏病毒被执行,执行后在CS中上线,获得了后门:
快捷方式钓鱼
在CS中的attack选项卡中点击第一个选项:
选择listener之后点击launch:
生成成功后复制payload:
然后新建一个快捷方式:
右键新建的快捷方式点击属性,在目标中粘贴刚刚生成的payload:
点击应用,这时候图标会变,点击更改图标,粘贴代码
%SystemRoot%\System32\SHELL32.dll
会出现很多系统图标,选择回收站:
执行快捷方式后上线,获得了后门:
shellQMaker bug
shellcode不能直接利用,需要一个加载器,还需要一个免杀工具
下载shellQMaker免杀工具,解压,如下图中loading是加载器:
在CS中点击stager payload Generator:
添加监听的端口:
将文件保存到shellQMaker的解压目录下:
在shellQMaker的解压打开命令行,执行命令
Shel1QMaker.exe payload_x64.bin shel1.exe
生成一个shell.exe文件:
此时执行shell.exe后CS中不能上线,这是shellQMaker新出现的bug
伪装pdf文件上线
选中一个pdf文件,一个木马文件,点击添加到压缩文件:
勾选下图中的选项:
在常规的解压路径中加入下面路径
c:\\windows \\temp
勾选绝对路径:
点击设置,添加路径:
点击模式,全部隐藏:
在更新中配置:
确定后生成文件,在Desktop后加一个空格,输入fdp:
在fdp前插入下面选项:
就能将文件变成pdf格式,打开后显示正常pdf的内容,在CS中可以上线:
