曾经在学校接触过APT攻击,抱着对其心技术的兴趣。闲来无事,自己也尝试着利用“白利用”技术构造钓鱼文档执行payload,侥幸的是也成功绕过瑞星、火绒等杀毒软件。
本次构造的payload所使用的一款白程序是certutil.exe。该程序是一个Windows系统的内置程序,用于管理Windows中的证书。在Windows系统中,可以利用certutil.exe对证书进行安装,备份,删除,管理和执行与证书相关的各种功能。
执行payload所使用的是certutil.exe处理base64编码数据和从远程下载证书或其他文件的功能 ,用法如下:
将这条指令进行base64转码,放入一个新建的Excel文档中(一定放在隐蔽的地方)如下图:
在服务器上启动9999端口监听:
可以看到,已经收到本地的shell了。之后又发给安全的一个同事进行了验证,可怕的是瑞星和火绒居然没有 ,没有 ,惊不惊喜,意不意外 ,这要是挂个大马…脑补吧
文章知识点与官方知识档案匹配,可进一步学习相关知识 络技能树首页概览22215 人正在系统学习中
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!