一道CTF题,检索新技能
小编给大家分享新姿势啦!拿起你们的小板凳,准备好你们的小本本开始做笔记吧!
打开 chm 后发现两个 pdf 文档,发现题目提示 flag 就是小鸡的地址,根据题目提示怀疑是后门,之前没接触过 chm 后门,于是网上搜索一番,get 到新姿势。题目解题比较简单,直接 hh 反编译或者改后缀解压都能找到小鸡的地址。
新姿势分享
chm 是微软新一代的帮助文件格式,利用 HTML 作源文,把帮助内容以类似数据库的形式编译储存。CHM 支持 Javas cript、VBs cript、ActiveX、Java Applet、Flash、常见图形文件 ( GIF、JPEG、PNG )、音频视频文件 ( MID、WAV、AVI ) 等等,并可以通过 URL 与 Internet 联系在一起。将以上利用代码写入 html ,置于工程目录进行编译,生成 CHM 文件,运行此文件,弹出计算器。我们可以在代码上稍作修改,通过 chm+ jsbackdoor+msf 实现 get meterpreter 会话。
1、通过 MyJSRat 脚本获取到当前本地地址和外网出口地址
2、通过 MyJSRat 脚本命令开启 JSRat server
3、然后访问 http://192.168.152.150/wtf 获取攻击代码。
5、通过 easychm 选择 html 所在的文件夹制作 chm 文件,然后把 chm 文件上传到( virscan.org )网站查毒,大部分杀毒软件识别不出来,结果截图如下:
6、上面已经通过 MyJSRat 脚本命令开启 JSRat server ,这里直接开始利用。在客户机打开 chm 文件,然后在 kali 上可以看到已经由客户机上线,获取到 JS 交互 shell。
7、在 JS 交互 shell 中每执行一条命令,客户端都会有黑框一闪而过,解决方法是使用 JSRat 中的 RUN 来执行命令写入文件,再通过 read 来读取文件的输出,相对来说比较麻烦,所以可以通过获取客户端JS交互 shell 之后自动执行 powershell ,获取 meterpreter 会话。这里通过 msf 的 web_delivery 模块来开启 powershell 的监听。设置参数如下:
Show targets 然后设置 powershell
URIPATH 设置为/,
SRVPORT 设置为与 JSRat server 的监听端口不一样的 8082
lhost设置为本机ip
payload设置为windows反弹连接reverse_tcp 其他参数自行探索。
由于powershell 攻击代码中存在特殊符号,直接放到 JSRat 来执行,会导致获取不到 meterpreter 会话,需要对攻击代码进行 base64 编码,刚开始搞不清楚为什么要先转 UTF-16 再转 base64,pcat 大佬提示 Windows 默认 unicode 编码就是 utf16 ,因此攻击代码要先经过 UTF-16 编码再转 base64。操作如下,先将执行代码写入 1.txt,再通过命令将代码转为 base 编码字符输出。
9、获取到 base64 转码后的攻击代码后,构造 powershell 命令( bypass 可以绕过策略)
此时,客户端打开 chm 就会触发执行 powershell 命令,从而反弹一个 meterpreter 会话到 kali 上。
通过sessions –i 查看所有已建立的会话,进入会话。
通过sessions –i 查看所有已建立的会话,进入会话。
杀毒测试杀毒方面测试过火绒(powershell拦截并提示)其他杀毒软件可以自行测试。截图如下:别忘了投稿哟!!!
合天公众号开启原创投稿啦!!!
大家有好的技术原创文章。
欢迎投稿至邮箱:edu@heetian.com;
合天会根据文章的时效、新颖、文笔、实用等多方面评判给予100元-500元不等的稿费哟。
有才能的你快来投稿吧!
合天智汇
网址 : www.heetian.com
电话:4006-123-731
长按图片,据说只有颜值高的人才能识别哦