邮箱附件钓鱼常用技法

本文仅用于技术讨论与学习，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。

只供对已授权的目标使用测试，对未授权目标的测试作者不承担责任，均由使用本人自行承担。

INK

lnk⽂件，简单理解为快捷⽅式，创建⽅式如下：

下图为calc.exe的快捷⽅式的属性信息，我们可以在“⽬标”栏写⼊⾃⼰的恶意命令，如powershell上线命令：

然后运行，即可在CS上线。

⽽在实施钓⻥过程中，对于我们的calc.exe的快捷⽅式来说，⼀个⼤⼤的计算机ico图标，显然看起来不像⼀个好玩意，因此可以尝试在“属性”中去更改该⽂件的图标：

但是⽤系统⾃带的ico去做⽂件图标替换的话，有个弊端，即当替换的ico在⽬标机器上不存在时，就会出现类似空⽩ico图标：

比较好的方法是修改lnk的icon_location标志位，修改为相关后缀，系统即可⾃动联想到对应的打开⽅式：

用winhex或者010 Editor打开该LNK文件，找到String Data部分ICON_LOCATION字符串：

我们要将其修改为.\1.pdf(Unicode)，其长度0x07：

07002E005C0031002E00700064006600

我的pdf默认是由edge浏览器打开，则在icon_location中设置为pdf后缀时，⽂件的ico也会自动显示为edge浏览器打开的图标， 这样可以达到⾃适配的效果：

当受害者中招打开我们的所谓的pdf，实则为恶意的快捷⽅式时，双击两下，什么反应都没有，可能会有⼀丝疑惑，因此可以当尝试⽤powershell、mshta等⽅式上线时，我们可以更改如cobaltstrike⽣成的代码，加上⼀段⾃动下载打开⼀份真的pdf，来达到逼真的效果，具体过程如下：

首先新建一指向%windir%\System32\mshta.exe的快捷方式(文件名尽量带有迷惑性)，并更改其图标为%SystemRoot%\System32\SHELL32.dll中任意一个：

使用CS生成一个powershell方式的HTA木马

打开hta文件，在其执行payload前增加如下 语句：

然后python起个http服务

这样一来，在受害者打开LNK文件后会从远程下载一正常PDF文档并打开。

接下来使用上面的方法修改快捷方式图标为pdf的图标。

使用CS设置HTA文件下载：

之后更改快捷方式的参数为HTA下载地址：

之后双击该LNK文件，主机便会上线，而受害者会看到一正常的PDF文档：

宏

CS

生成office宏病毒文件，此程序包生成一个VBA宏，您可以将其嵌入到Microsoft Word或Excel文档中。此攻击适用于Windows上的x86和x64 Office

在word的视图功能中植⼊相关宏：

随便创建一个宏，将CS的Macro代码复制进去保存就可以。运行，word即可上线。（excel类似）

但是此种办法有个弊端，就是宏代码是存在本地的，极易被杀软查杀。

远程模板注入宏代码

因此我们可以尝试使⽤远程加载模板的⽅式在进⾏宏加载。

原理：

利用Word文档加载附加模板时的缺陷所发起的恶意请求，而达到的攻击目的，所以当目标用户点开攻击者发送的恶意Word文档就可以通过向远程服务器发送恶意请求的方式，然后加载模板执行恶意模板的宏。

发送的文档本身不带恶意代码，所以能过很多静态检测。只需要在远程DOTM文档中编写宏病毒或者木马即可。

思路：

编写一个带有宏代码的DOTM文档，上传服务器

编写一个带模板的DOCX文档

将该文档压缩找到并更改settings.xml.rels文件中的内容，将其中的target内容修改为服务器上DOTM文档的URL

将DOCX解压后的内容再以存储模式压缩为ZIP

修改后缀名为DOCX，打开后即可实现远程注入宏文档

新建word, 打开宏代码编辑环境后，在本文档的ThisDocument下，编写如下宏代码

保存时保存类型为 dotm :

开启Web服务，放在其目录下， http://192.168.111.234/cs_macro.dotm

制作 docx

创建一个简历模板word文档：

将word文件后缀 docx 改为 zip,解压，找到settings.xml.rels

用文本编辑器打开，修改target项，可用的协议有ftp、smb、http，这里使用http:

将 target 内容改为http://192.168.111.234/cs_macro.dotm

之后全选目录所有文件，压缩为macro_test.zip,再将后缀改为docx

制作完成。

双击打开，启动宏，即可上线：

文件名反转RLO

RLO，即Right-to-Left Override，我们可以在⽂件名中插⼊此类unicode字符，来达到⽂件名反转的效果。

以calc.exe来举例，

将其重命名为calcgpj.exe,然后在 calc 与 g 之间右键，看图操作

ok，此时已经变成了 以 jpg 结尾的了。但是双击运行还是 exe 格式运行的。

再利用ResourceHacker修改图标。

找个图片转换为 ico 格式。

http://www.bitbug.net/

如图，双击实际上还是运行的calc。

自解压

首先我们需要准备好木马(cmd.exe)、正常程序(calc.exe)

1. 选中两个程序，然后添加到压缩文件,创建自解压

2.高级自解压选项，常规：解压路径 ——> 绝对路径：

路径写C:\windows\temp

3.高级自解压选项->设置

C:\windows\temp\选中的木马名

C:\windows\temp\选中的程序名

4.高级自解压选项->模式

静默模式->隐藏所有

5.高级自解压选项->更新

更新模式->解压并更新

覆盖模式->覆盖所有文件

6.确定

执行一下，发现达到了效果，在这里我们还需要做一些细节的伪装.

使用Resource Hacker换一下图标：

运行

自解压+RLO

1. 将png图片和muma.exe自解压成 gnp.exe

2. RLO，文件名反转成 exe.png

3. 修改exe.png图标，变成个图片

4. 运行，看起来是个图⽚，后缀也是个图⽚，打开也是个图⽚，但是木马成功执行

双击，pikaexe.jpg

CHM 电子书

CHM（Compiled Help Manual）即“已编译的帮助文件”。它是微软新一代的帮助文件格式，利用HTML作源文，把帮助内容以类似数据库的形式编译储存。

制作CHM需要用到一个工具 EasyCHM（http://www.etextwizard.com/）

新建一个html文件，编码格式ANSI，向里面写入如下内容

//这一排用于执行命令，注意cmd.exe前后都有,或者<PARAM name="Item1" value=',powershell.exe,-c calc.exe'>也行

用easychm，新建-浏览-选择html文件所在目录-编译

生成一个chm，双击，打开了计算器

office OLE+LNK

核心目标是创建一个内嵌的lnk文件诱导用户点击，从而执行命令。word，excel都能使用

我们创建一个快捷方式如下

其目标处填写的是

然后打开word文件，插入对象，选择package，为了更加逼真勾选显示为图标，然后可以更改图标，我们在更改图标处选择一个迷惑性比较大的图标

然后进入创建软件包界面，选择我们刚刚创建的lnk文件，写好卷标名，然后就把软件包插入到word界面了，只要用户点击该软件包并选择执行，则会执行我们在lnk中定义的代码

捆绑文件

K8免杀系统自带捆绑器加强版V2.0.EXE

超级文件捆绑器

生成，执行之后会执行cmd.exe一样的效果，但此时后门软件也被执行了。

Word DDE

在word文件里，输入 ctrl+F9,进入到域代码编辑。我们可以键入以下代码使文件在被打开时执行系统命令（word2019复现未成功，word2016成功，似乎是word版本问题
这个蛮实用的，目前众多word是默认禁用宏的，dde只需要用户点击两个按钮即可执行，实用性比宏好

随后在打开该文件时会出现两个对话框，全点是就会执行以上命令了

【腾讯云】境外1核2G服务器低至2折，半价续费券限量免费领取！

关注公众号回复“加群”，添加Z2OBot 小K自动拉你加入Z2O安全攻防交流群分享更多好东西。

星球不定时更新最新漏洞复现，手把手教你，同时不定时更新POC、内外网渗透测试骚操作。涉及方向包括Web渗透、免杀绕过、内网攻防、代码审计、应急响应、云安全等