网站备案需要准备哪些资料,钦州市建设网站,广告设计公司介绍文案,免费跨境电商平台有哪些本文内容涉及程序/技术原理可能带有攻击性#xff0c;仅用于安全研究和教学使用#xff0c;务必在模拟环境下进行实验#xff0c;请勿将其用于其他用途。因此造成的后果自行承担#xff0c;如有违反国家法律则自行承担全部法律责任#xff0c;与作者及分享者无关
0x01 件…本文内容涉及程序/技术原理可能带有攻击性仅用于安全研究和教学使用务必在模拟环境下进行实验请勿将其用于其他用途。因此造成的后果自行承担如有违反国家法律则自行承担全部法律责任与作者及分享者无关
0x01 件名反转
在渗透过程中有时需要通过钓鱼来来传播一些木马文件而这些木马文件需要精心的伪装。RLO即 Start Of Right-to-Left override。我们可以通过选择插入Unicode控制字符RLO来达到反转文件名的效果 以CobaltStrike生成的木马BypassAV.exe为例1、生成木马文件2、加入我们想让这个木马伪装为zip的文件由于RLO是从右向左的顺序我们编辑文件选择重命名在.exe前输入piz3、在BypassAV后piz前的位置右键选择Unicode控制字符然后选择RLO4、查看文件属性文件后缀已经变成了zip 0x02 自解压释放执行
自解压是捆绑文件的一种做法利用WinRAR将正常文件与木马压缩在一起并创建一个可以自解压的exe文件在解压过程后可以自动运行释放的文件 操作步骤1、我们将生成的木马与需要压缩的文件放在同一级目录(也可不同级目录)将木马文件命名为envchk.exe2、右键全选需要压缩的文件然后点击添加到压缩文件3、选择创建自解压格式压缩文件4、在高级选项中选择自解压选项5、配置解压路径级运行后程序的释放路径这里我们配置成C:\PragramData目录6、在设置选项卡中设置程序解压后需要运行的程序这里的路径填写文件解压后的绝对路径或相对路径7、在模式中的安静模式配置为全部隐藏8、配置快捷方式在高级快捷方式中添加快捷方式9、点击完成生成自解压包10、运行生成的自解压把发现软件可以正常打开CS也可以正常上线查看Programdata目录可以看到文件是成功释放的 0x3 Office加载远程模板
远程宏模板技术就是利用使用模板创建的文档在启动时会加载模板的原理将其加载的正常模板替换为带有宏病毒的恶意模板主要涉及一下两个文档
1、docx正常使用模板创建的文档
2、dotm带有宏病毒的恶意宏模板文件相比与直接发送宏文档这种方法发送的docx文档会更隐蔽一下也不会被杀软检测到因为这个文档本身时不含有宏的。 office远程加载模板1、首先创建一个宏模板文件2、选择宏位置为当前文档然后创建宏3、将宏代码写入并保存为dotm文件4、将宏模板文件上传至互联网5、使用模板创建一个docx文档6、将文档保存后后缀名改成zip格式并将word_res\settings.xml.res文件解压出来7、修改settings.xml.res中的tartget字段将其替换为互联网上的宏病毒模板文件并将文件压缩会文档8、打开修改过的文档看到从文档在打开时从互联网下载了带有宏病毒的模板9、然后点击启用宏发现CS已上线
