高级组合技打造捆绑后门及防御建议
副标题[/!--empirenews.page--]
一、CHM简介 在介绍怎么使用CHM来作为后门之前,首先要知道CMH是什么东西。 CHM(Compiled Help Manual)即“已编译的帮助文件”。它是微软新一代的帮助文件格式,利用HTML作源文,把帮助内容以类似数据库的形式编译储存。CHM支持Javas cript、VBs cript、ActiveX、Java Applet、Flash、常见图形文件(GIF、JPEG、PNG)、音频视频文件(MID、WAV、AVI)等等,并可以通过URL与Internet联系在一起。因为使用方便,形式多样也被采用作为电子书的格式。 二、CHM制作 CHM的制作方法很多。有多款工具可以使用,这里就不在做详细的介绍了。本次测试使用了EasyCHM来制作CHM文件,使用起来非常简单。 新建如下目录,文件内容随意: 打开EasyCHM,新建->浏览。选择该目录。默认文件类型: 点击确认,即可看到预览的CHM文件: 选择编译,即可编译成CHM文件。 三、CHM Execute Command 14年的时候@ithurricanept 在twitter上发了一个demo,通过CHM运行计算器: 利用代码如下:
将以上代码写入html,置于工程目录进行编译,生成CHM文件,运行此文件,弹出计算器: 四、去除弹框 有测试过nishang Out-CHM的同学会发现,运行生成的CHM文件的时候会看到明显的弹框。就像这样: 某个晚上突然脑洞了一下,想到了一个好的方式来让他不显示弹框,即结合使用JavaScript Backdoor。经过测试,成功实现在不弹框的情况下获取meterpreter会话,此次测试使用一个我修改过的python版 JSRat.ps1 ,地址为:https://github.com/Ridter/MyJSRat。使用方式详见 readme。 以下为完整的测试过程: 1. 结合CHM + JSBackdoor 使用交互模式的JSRat server:
访问 http://192.168.1.101:8080/wtf 获取攻击代码如下:
经过多次测试,成功将以上命令写入chm,其Html代码为:
编译以后运行,可以成功获取JS交互shell: 直接执行cmd /c command 是会有黑框的,可以使用run来避免显示黑框。执行run以后,输入 whoami > e:1.txt 之后通过read 来获取回显。 2. 获取meterpreter会话 此次测试获取meterpreter会话的方式是通过执行powershell命令,直接获取,当获取客户端JS 交互shell之后自动执行powershell命令,获取meterpreter会话。具体操作如下: (编辑:PHP编程网 - 湛江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |