上图是一个 Red Team 攻击的生命周期,整个生命周期包括:信息收集、攻击尝试获得权限、持久性控制、权限提升、网络信息收集、横向移动、数据分析(在这个基础上再做持久化控制)、在所有攻击结束之后清理并退出战场。
红队在攻击企业时,通过外围的业务系统比较难以进入内网,往往外围的业务系统不是在云上就是在 DMZ 区,在获得业务系统权限的时候也不一定能进入到办公网络,再加上 CDN 和 Waf 这种东西的存在,通过 web 服务器进入内网的方式几乎是不太可能,所以那怎么样才能顺利进入办公网络呢?
办公网络是所有公司员工所在的网络,攻击方式往往跟他的作用以及员工的行为方式相关的。员工的日常工作在电脑端经常用的就是一些办公软件、浏览器、邮件系统等,所以对应的攻击方式应运而生,比如钓鱼、恶意文件等,下面的这些工具、武器就是干这个活的。
CVE-2017-8570 漏洞为 Microsoft Office 的一个远程代码执行漏洞。其成因是Microsoft PowerPoint执行时会初始化Script Moniker对象,而在PowerPoint播放动画期间会激活该对象,从而执行sct脚本(Windows Script Component)文件。攻击者可以欺骗用户运行含有该漏洞的 PPT 文件,导致获取和当前登录用户相同的代码执行权限。
https://github.com/rxwx/CVE-2017-8570
该漏洞的技术原理和今年黑客“奥斯卡”Pwnie Awards 上的最佳客户端漏洞(CVE-2017-0199)如出一辙,不同的是,这次黑客在 Offcie 文档中嵌入新的 Moniker 对象,利用的是 .net 库漏洞,在 Office 文档中加载执行远程的恶意 .NET 代码,而整个漏洞的罪魁祸首竞是 .NET Framework 一个换行符处理失误。
https://github.com/bhdresh/CVE-2017-8759
攻击者可以利用漏洞以当前登录的用户的身份执行任意命令。
https://github.com/unamer/CVE-2017-11882
CVE-2018-4878 与 2017 年 10 月发现的 0Day 漏洞 CVE-2017-11292 一样,都位于 Flash 的 com.adobe.tvsdk 包中。CVE-2018-4878 是一个 UAF 漏洞,需要借助强制 GC 或者刷新页面来触发该漏洞。
https://github.com/anbai-inc/CVE-2018-4878
CVE-2017-0199 是首个 Microsoft Office RTF 漏洞,当用户打开包含嵌入式漏洞的文档时,此漏洞允许恶意攻击者下载并执行包含 PowerShell 命令的 Visual Basic 脚本。
https://github.com/bhdresh/CVE-2017-0199
这是一个 HTA 加密工具,并且可以将经过加密的 HTA 文件包含在 html 里。这样可以绕过很多对内容和文件类型检测对安全工具。
https://github.com/nccgroup/demiguise
这个项目可以生成嵌入 DDE 的 word 和 excel 的模版,可以在进行钓鱼攻击的时候使用。
Windows 提供了应用程序间数据传输的若干种方法。其中一种就是使用动态数据交换(DDE)协议。
DDE 协议是一套消息和指示的集合。通过发送消息以及共享内存实现应用程序的数据共享和交换。应用程序可以使用DDE 协议实现一次性数据传输以及持续的数据交换(当新数据可用时,应用程序发送更新通知给另一个应用程序)。
在 MSWord 和 MSExcel 里,可以使用 DDE 来执行命令。
https://github.com/0xdeadbeefJERKY/Office-DDE-Payloads
这是一个 JavaScript 和 VBScript 的加载器,可以生成一个被注入了 shellcode 的 32 位应用程序。
https://github.com/mdsecactivebreach/CACTUSTORCH
这是一个创建 payload 的框架,用于执行任意的 CSharp 源码。它可以创建各种格式的 payload ,包括 HTA 、JS、VBS 和 WSF。它使用随机的密钥进行 RC4 加密,来逃避一些杀毒软件。
https://github.com/mdsecactivebreach/SharpShooter
这个工具可以将 shellcode 注入到图片中并保证图片正常打开,这个工具依赖 powershell 执行图片中的 shellcode。
https://github.com/Mr-Un1k0d3r/DKMC
这个工具可以生成可以绕过 AV 和沙盒的混淆宏。
https://github.com/Mr-Un1k0d3r/MaliciousMacroGenerator
混淆 Cobalt Strike 的 SCT payload,Cobalt Strike 集成了端口转发、扫描多模式端口监听 Windows exe 木马,生成 Windows dll (动态链接库)木马,生成 java 木马,生成 office 宏病毒,生成木马捆绑钓鱼攻击,包括站点克隆目标信息获取 java 执行浏览器自动攻击等等。
https://github.com/Mr-Un1k0d3r/SCT-obfuscator
混淆 powershell 的工具。
https://github.com/danielbohannon/Invoke-Obfuscation
这是一个 cmd 命令混淆框架。
https://github.com/danielbohannon/Invoke-DOSfuscation
将 Cobalt Strike 的 evil.HTA. 进行变形混淆绕过杀软。
https://github.com/vysec/morphHTA
这个工具简单的实现 powershell 降级攻击并把 shellcode 直接注入到内存中。
https://github.com/trustedsec/unicorn
Shellter 是一个动态的 shellcode 注入工具,也是有史以来第一个真正动态的 PE 感染器。它可用于将 shellcode 注入本机 Windows 应用程序(仅限于 32 位应用程序)。shellcode 可以是你自己写的或者通过框架生成的,比如Metasploit。
https://www.shellterproject.com/
由于一些反病毒厂商在进行病毒查杀的时候首先会检查软件的签名,而且对于一些白名单签名机构发布的签名不检查签名是否真的有效,所以通过伪造签名就可以绕过反病毒的查杀,这个工具就是用来从一个有签名的软件中提取签名信息并伪造为恶意软件进行签名,当然,这个伪造的签名不是真实的。
https://github.com/secretsquirrel/SigThief
这个工具可以将 metasploit 的 payloads 进行混淆加密从而绕过一些常见的杀毒软件。
is a tool designed to generate metasploit payloads that bypass common anti-virus solutions.
https://github.com/Veil-Framework/Veil
这个项目包含了用 PowerShell, Python, Go, Ruby, C, C#, Perl, 和 Rust 写的沙盒逃逸的工具。
https://github.com/Arvanaghi/CheckPlease
这个工具可以将 powershell 脚本嵌入到 PNG 图片的像素中,从而隐藏恶意脚本,随后可以使用 powershell 命令下载图片并执行其中隐藏的恶意 powershell 脚本。
https://github.com/peewpw/Invoke-PSImage
这个工具可以生成一个恶意的 office 文档,黑客通过邮件等方式发送给用户,安全意识不强的用户可能中招。
https://github.com/curi0usJack/luckystrike
这个工具可以一键生成一个恶意软件,默认情况下生成的恶意软件运行进程模仿 IE 的进程。
https://github.com/Mr-Un1k0d3r/ClickOnceGenerator
这个工具可以轻松生成多种格式的恶意文件,如恶意 Office 文档、恶意脚本(VBS、VBA等)以及恶意的快捷方式,还支持混淆功能,可以将恶意代码自动混淆。
https://github.com/sevagas/macro_pack
这个工具可以在目标系统没有 PowerShell 环境的情况下,生成一个 JavaScript 或 VBScript 脚本作为代替 Empire 服务端脚本的工具。
https://github.com/Cn33liz/StarFighters
这个脚本是从多个公开的绕过技巧中提取经验,用来生成可以绕过一些入侵检测技术的 payload。
https://github.com/trustedsec/nps_payload
a collection of social engineering tricks and payloads being used for credential theft and spear phishing attacks.
https://github.com/bhdresh/SocialEngineeringPayloads
这个项目收集了一些在社会工程学中可能用到的工具集,可以在钓鱼攻击中使用。
https://github.com/trustedsec/social-engineer-toolkit
这个工具是一个简单的启用了 SSL 的 HTTP 服务器,而且还可以将 URL 注入到 Office 文档中,在用户打开文档的时候,弹出认证窗口,如果用户在认证框中输入了自己的用户凭证,那么攻击者就可以获得用户的凭证,这在社工钓鱼中非常有用。
https://github.com/ryhanson/phishery
这个工具需要使用 rundll32.exe 进行执行,不需要使用 powershell.exe 就可以执行 powershell 脚本,用来绕过一些入侵检测规则。
https://github.com/p3nt4/PowerShdll
这个资源包含了许多绕过 AppLocker 的技术,目前有 57 种方式,AppLocker 即“应用程序控制策略”,是 Windows 7 系统中新增加的一项安全功能。
https://github.com/api0cradle/UltimateAppLockerByPassList
这个工具可以利用 MAPI/HTTP 或 RPC/HTTP 协议与远程的 Exchange 服务器进行交互,主要功能有:枚举有效用户、创建新的恶意邮件规则、保存全局邮件地址列表(GAL)、通过表单执行 VBScript、通过 Outlook 主页执行 VBScript。
https://github.com/sensepost/ruler
这个脚本可以生成一个包含恶意 VBS 脚本的恶意 Excel 文档,可以指定 payload。
https://github.com/enigma0x3/Generate-Macro
这个工具可以生成恶意宏并且利用 MSBuild 绕过应用程序白名单执行 powershell 或 shellcode。
https://github.com/infosecn1nja/MaliciousMacroMSBuild
这个是一个文件资源克隆工具,可以复制元数据,包括文件基本信息、数字签名等,可以从一个文件中提取并注入到另一个文件中。
https://github.com/threatexpress/metatwin
这个工具可以生成能够注入到 Office 文档中的 VBA 脚本,生成的 VBA 脚本在执行的时候可以自动识别系统,执行康对应的 payload。
https://github.com/mwrlabs/wePWNise
这个工具可以将 .net 2.0 的应用程序转为 JScript 脚本,满足一些特殊的环境。
https://github.com/tyranid/DotNetToJScript
AMSI(反恶意软件扫描接口)是用来扫描应用内部是否存在恶意代码的接口,而这个工具就是通过检测 AMSI 签名来判断应用(如 powershell)中是否使用了 AMSI,然后通过各种方式绕过 AMSI 的扫描。
https://github.com/cobbr/PSAmsi
这个反射 DLL 注入是采用反射编程的思想将 DLL 注入到指定的进程中,我们可以将 payload 注入到已有进程中,方便隐藏自身。
https://github.com/stephenfewer/ReflectiveDLLInjection
这是一个 ruby 写到脚本,可以将基于 metesploit 的 powershell payload 进行编码然后输出,输出格式包含:raw、cmd、vba、vbs、war、exe、java、js、php、hta、cfm、aspx、lnk、sct 等。
https://github.com/CroweCybersecurity/ps1encode
这个工具可以利用 PDF 的正常功能窃取 Windows 系统的 NTLM Hash,具体的说,当用户使用 PDF 阅读器打开一份恶意的 PDF 文档,该 PDF 会向远程 SMB 服务器发出请求,如果该远程 SMB 服务器对数据包进行抓取,就能够获得用户 Windows 系统的 Net NTLM Hash,通过进一步破解就有可能获得用户系统的明文密码。
https://3gstudent.github.io/3gstudent.github.io/渗透技巧-利用PDF文件获取Net-NTLM-hash/
https://github.com/3gstudent/Worse-PDF
这个工具提供了多种方法来绕过安全防御措施,它可以生成 Metesploit、Empire、 Koadic 的加载器或后门,它具有混淆、编码、运行时代码编译和字符串替换等功能。程序"运行时"即是程序被编译了之后,打开程序并运行它直到程序关闭退出这段时间。
https://github.com/hlldz/SpookFlare
这个工具可以生成绕过大多是杀毒软件以及白名单检测工具的 metesploit payload。
https://github.com/GreatSCT/GreatSCT
这个工具可以在没有安装 powershell 环境的系统下使用,用来执行 powershell 脚本。
https://github.com/Ben0xA/nps
这个工具利用证书来加密 Meterpreter 与目标之间交互的流量,绕过一些流量审计平台,隐藏实际流量。
https://github.com/r00t-3xp10it/Meterpreter_Paranoid_Mode-SSL
这个工具可以二进制文件打补丁,将自定义的 shellcode 注入到二进制文件中,在二进制文件启动时执行指定的 shellcode。
补丁技术包括:
1、附加到文本段,将数据段前移一页或者更多页
2、文本段和数据段之间如果有空白空间可以利用
3、将 stub 附加到数据段并使其可执行
4、将文本段扩展到数据段之后
5、替换一个节点,替换掉 ELF 文件中不必要的节点,像 GNU_STACK 节点
6、增加新节点
https://github.com/secretsquirrel/the-backdoor-factory
这个项目收集了一些脚本,这些脚本可以生成可以被 Office 宏执行的有效载荷。
https://github.com/khr0x40sh/MacroShop
这个工具可以将 powershell 注入到进程中执行。
https://github.com/leechristensen/UnmanagedPowerShell
下一篇:软件安全测试方法
鲁公网安备 37010402000926号 
