【社工钓鱼】手法总结

news/2024/12/23 12:11:44/文章来源:https://www.cnblogs.com/o-O-oO/p/18623699

1479394864616213 七芒星实验室 2024年12月23日 07:03 四川

一、rlo文件名翻转

简介:全名Right-to-Left Override,本质是一串Unicode字符,编码0x202E,本身不可见,插入之后会让在他之后的字符串从右往左重新排列,本意是用来支持一些从右往左写的语言的文字,比如阿拉伯语、希伯来语等,现可以用来伪造文件名后缀,结合上一些其他手段可用作钓鱼文件的制作。

例子:为了更直观的看懂反转过程使用原文件名如下

在手册两字前点击,选择插入Unicode字符,选择RLO

插入后效果如下

由此可见如要伪造特定后置需要插入位置处倒序排列,这里用计算器代替,构造如下字符串后在指针处插入rlo字符:

这里还不太像word文件,我们用Resource Hacker替换一下图标

不知道怎么找ioc图标的可以使用BeCyIconGrabberPortable工具
链接:

https://github.com/JarlPenguin/BeCyIconGrabberPortable

但是这种RLO的方法有缺陷就是文件名中会有exe,全英文觉得没什么,要是是中文文件名就会很突兀这个时候就要构造下文件名了,如:

虽然还是不太像但是比一串中文结尾突然出现个exe要好很多。
另外这里只是修改了下文件名和图标,打开之后还是原exe文件并不会打开一个文档容易引起用户怀疑,这个时候就需要搭配其他手段,而且也不能做到免杀。
而且QQ邮箱和网易邮箱对插入了特殊Unicode字符的文件做了限制。

并且WinRAR中插入的rlo字符会显示成箭头

二、超长文件名

简介:超长文件名顾名思义就是很长的文件名(感觉和没说一样,哈哈哈)这里是利用Windows系统的一个特性,假如文件名很长超过特定长度的部分就会被隐藏,变成省略号
举个栗子(也就欺负欺负眼神不好的)
构造文件名如下

但是实际并不好用,压缩包中会把后缀显示出来

qq虽然在外面看着是doc但是点击去之后还是会显示exe的图标

微信的话名字显示doc但是图标类型是exe

三、自解压文件

(1)本质为内置解压程序,直接双击即可按照预设运行,配置过程

高级选项,解压路劲设置为C:\Temp

解压后直接运行

隐藏解压过程

设置自解压文件自定义图标

效果如下

双击会按顺序运行两个文件

实际钓鱼把calc.exe替换为免杀马即可,因后缀为exe可搭配rlo手法进行混淆。
或者可直接用正常的exe文件和免杀马进行压缩,即可做到神不知鬼不觉,用户侧完全无感知

四、捆绑文件

基本原理:将b.exe附加到a.exe末尾,这样当a.exe被执行的时候b.exe也跟着执行
操作过程:使用工具进行捆绑

会合并成一个exe和自解压有点类似

五、Office宏文件

(1)Word宏:
使用cs创建office宏

新建宏

复制相关代码并替换

另存为docm文件,双击即可上线,需要启用宏

这个因为宏代码在本地容易被查杀,另一个方法是把宏文件保存为模板然后远程加载,具体过程:
先把之前的docm文件另存为dotm模板,然后放到远程服务器上
创建一个正常的docx文件(注意要使用网络模板,不能创建一个空白的文件文档,不然word文件夹下没有settings.xml.rels),把后缀改为zip修改word文件夹下的settings文件

修改互联网模板(target)为自己服务器上的模板,模板也可以上传到GitHub

重新压缩,注意压缩方式选存储,再修改后缀为docx

不过新版word禁用了远程加载的宏,试了挺多方法都没成功

(2) Xls宏文件
首先需要先创建恶意msi文件操作如图

Msf开启监听

Excel创建宏文件

输入下列函数

设置隐藏

使用excel打开,成功反弹shell

不过这个msi会被360和火绒检测,需要做下免杀

六、CHM文件

(1)CHM(Compiled Help Manual)是一种Microsoft编写的帮助文档格式。利用HTML作源文,把帮助内容以类似数据库的形式编译储存,包含标签、图像、文本、超链接等

(2)制作过程,创建如下html文件

执行处也可以写为cs上线代码

新建-浏览-选择html文件所在目录-编译

点击相关页面即可运行对应命令

不过会有安全提示,并且360也会监测cmd调用

七、lnk文件

顾名思义为快捷方式,可在目标栏写上恶意程序的地址直接运行或者调用指向的程序(如powershell)执行恶意命令

(1)远程加载恶意代码:修改目标为cs代码

双击即可上线

不过一般杀软都能识别这个恶意命令,需要考虑下免杀过杀软

另外这里图标也需要修改成自定义的,网上看到种办法修改link文件的String Data部分的ICON_LOCATION标准位为./1.pdf即可让系统自动识别为pdf类型,不过我改了下没成功,感兴趣的可以试试

(2)加载本地的木马文件
一般手法为设置多层隐藏文件夹再加上一个免杀马。
目标设置为当前文件夹

C:\Windows\explorer.exe ".._MACOSX._MACOSX._MACOSX._MACOSX._MACOSX\calc.exe"

%cd%为快捷方式启动时的当前位置,点击lnk文件即可上线

原文作者:1479394864616213

原文链接:https://xz.aliyun.com/t/16352

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/857403.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

docker环境利用centos7镜像 + miniconda + python3.9 + wkhtmltopdf 构建html转图片服务

1、目录结构 html2image ——Dockerfile ——main.py ——requirements.txt 2、Dockerfile FROM centos:7WORKDIR /app COPY . /app/RUN curl -O https://github.com/wkhtmltopdf/packaging/releases/download/0.12.6-1/wkhtmltox-0.12.6-1.centos7.x86_64.rpm \&& cur…

Java 项目实战:基于 Spring Boot 与 Vue.js 技术构建护士排班管理系统的架构设计方案

一、引言 1.1 项目背景 随着医疗行业的不断发展,医院护士排班管理的复杂性日益增加。传统的手工排班方式难以满足高效、公平、合理的需求,容易出现人力分配不均、员工满意度低等问题。为了提高护士排班的科学性和管理效率,特开发此护士排班管理系统。 1.2 项目目标 本系统旨…

某狐畅游24校招-C++开发岗笔试

某狐畅游24校招-C++开发岗笔试 目录某狐畅游24校招-C++开发岗笔试一、单选题二、单选题解析本文题目源来自:[PTA程序设计类实验辅助教学平台](PTA | 程序设计类实验辅助教学平台)一、单选题 1-1 若有说明 int a[2][3]; 则对 a 数组元素的正确引用是 A. a[0][1+1]B. a[1][3]C.…

中电金信参编的《金融分布式系统 术语》等5项团体标准正式发布

近日,由北京金融科技产业联盟归口的《金融分布式系统 术语》《金融分布式系统 参考架构》《金融分布式系统 应用设计原则》《金融分布式系统 技术平台能力要求》和《金融分布式系统 运维能力要求》5项团体标准正式发布和实施。该5项标准由中国金融电子化集团有限公司和国内相关…

Linux U盘挂载和卸载

将u盘挂载到linux 在RHEL6.3中挂载U盘的步骤如下:插入U盘:将U盘插入计算机的USB接口。查看U盘设备:使用命令 fdisk -l 或 lsblk 查看系统中已连接的设备列表,找到U盘对应的设备名,通常以 /dev/sdX 的形式表示,其中 X 是字母,如 /dev/sdb 或 /dev/sdc。此处U盘为sdb1创建…

我的世界服务器搭建教程(兼容Paper和Spigot核心,插件安装等)

注意:该服务器是基于Paper1.20.1核心进行初始化,默认兼容spigot插件。 一、配置JDK环境 二、 服务器核心配置 三、服务器启动 四、加入游戏 现在搭建出来的是原版生存服务器,接下来需要进行安装各种插件,包含登录认证;经济;商店;圈地;传送;多地图等可玩性插件。具体内容请看…

我的世界服务器搭建教程 兼容Paper核心 兼容Spigot核心

注意:该服务器是基于Paper1.20.1核心进行初始化,默认兼容spigot插件。 一、配置JDK环境 二、 服务器核心配置 三、服务器启动 四、加入游戏 现在搭建出来的是原版生存服务器,接下来需要进行安装各种插件,包含登录认证;经济;商店;圈地;传送;多地图等可玩性插件。具体内容请看…

.net framework 4.7.2 winform框架项目升级到.net 8.0项目 界面比列失调问题解决

一、问题发生前:在.net framework 4.7.2 winform框架开发的项目 之前在.net framework 4.7.2 开发的winform项目,在visual studio一打开的时候,虽然界面内有些控件也会失调,但是他会提示“使用100%缩放比例重新启动Visual Studio ”点击“使用100%缩放比例重新启动Visual S…

用DBeaver 新建触发器的步骤

1、选中表,新建触发器 2、 在触发器中,插入声明的SQL 完成

鸿蒙(HarmonyOS)原生AI能力之文本识别

鸿蒙(HarmonyOS)原生AI能力之文本识别 原生智能介绍在之前开发中,很多场景我们是通过调用云端的智能能力进行开发。例如文本识别、人脸识别等。原生即指将一些能力直接集成在本地鸿蒙系统中,通过不同层次的AI能力开放,满足开发者的不同场景下的诉求,降低应用开发门槛,帮助…

管理软件助力四六级:是学习规划师还是提分神器?

一、四六级单词学习的挑战 1.1 单词量庞大,记忆困难 四六级考试涉及的词汇量庞大,其中不仅包含常见的基础单词,还包括一些专业术语、固定搭配等。这些单词对于大部分学生来说,是需要长期积累和不断复习的。由于单词记忆的分散性和碎片化特点,考生很难一口气记住所有单词,…

Linux驱动开发笔记(七):操作系统MMU介绍,操作系统操作寄存器的原理和Demo

前言做过单片机的都知道,写驱动是直接代码设置和读取寄存器来控制外设实现基本的驱动功能,而linux操作系统上是由MMU(内存管理单元)来控制,MMU实现了虚拟地址与芯片物理地址的对应,设置和获取MMU地址就是设置和获取映射的物理地址,从而跟单片机一样实现与物理硬件的驱动…