153.网络安全渗透测试—[Cobalt Strike系列]—[生成hta/exe/宏后门]

我认为，无论是学习安全还是从事安全的人多多少少都会有些许的情怀和使命感！！！

一、后门简介

1、hta后门

（1）HTA简介：HTA是HTML Application的缩写（HTML应用程序），是软件开发的新概念，直接将HTML保存成HTA的格式，就是一个独立的应用软件，与VB、C++等程序语言所设计的软件没什么差别。

（2）HTA后门简介：HTA虽然用HTML、JS和CSS编写，却比普通网页权限大得多，它具有桌面程序的所有权限。也就是说一个html应用程序，双击就能运行，若该HTA里面写入了一些反弹Shell的脚本，则就成为了HTA后门。

（3）HTA后门类型：根据HTA内嵌的不同反弹Shell的脚本语言类型可以把HTA后门分为三种
//如下图所示：分别是exe、powershell、vba三种类型

//Executable 将会在hta文件中内嵌一个PE文件（PE文件的全称是Portable Executable，意为可移植的可执行的文件，常见的EXE、DLL、OCX、SYS、COM都是PE文件，PE文件是微软Windows操作系统上的程序文件）
//Powershell 将会在hta文件中内嵌一段Powershell代码
//VBA 将会在hta文件中内嵌一段VBA代码

（4）HTA后门常见场景：HTA木马一般配合网站克隆进行钓鱼攻击。
//下篇介绍

2、exe后门

（1）exe文件简介：EXE File英文全名executable file ，译作可执行文件，可移植可执行 (PE) 文件格式的文件，它可以加载到内存中，并由操作系统加载程序执行，是可在操作系统存储空间中浮动定位的可执行程序。如记事本程序notepad.exe ，可以用来编辑文档，如：测试.txt双击打开notepad.exe记事本程序来进行编辑处理。

（2）exe后门功能：反弹Shell

3、宏病毒后门

（1）Office宏简介：宏就是一些命令组织在一起，作为一个单独命令完成一个特定任务。Microsoft Word中对宏定义为：“宏就是能组织到一起作为一独立的命令使用的一系列word命令，它能使日常工作变得更容易”。Word使用宏语言Visual Basic将宏作为一系列指令来编写。宏又分为局部宏和全局宏：全局宏对所有文档都有效,局部宏只对本文档有效。

（2）宏病毒：生成office宏病毒文件，此程序包生成一个VBA宏，您可以将其嵌入到Microsoft Word或Excel文档中。 此攻击适用于Windows上的x86和x64 Office。（需要注意的是：若使用WPS的word文档创建宏，则必须安装插件，否则默认的宏类型是js的，而不是vba宏）

（3）宏病毒后门功能：反弹Shell

二、生成后门并测试

0、测试环境

1、生成hta后门并测试

（1）在cs上配置一个监听器，监听9527端口：点击配置监听-->点击Add-->填入监听器名字-->选择http beacon-->填写team server地址-->填写端口9527-->填写team server地址；
//如下图所示：成功配置监听器

（2）在cs上生成HTA后门：点击攻击-->点击生成后门-->点击HTML Application-->选择刚刚的1号监听器-->选择嵌入powershell类型的代码-->点击Generate生成后门并保存到本地evil-pw.hta；
//如下图所示：选择9527监听器和powershell类型的hta后门，其他两种类型不行

//如下图所示：保存到本地的hta后门文件夹内

（3）把hta后门放到130靶机，双击执行evil-pw.hta后门，cs成功获取会话

//如下图所示：靶机执行evil-pw.hta后门后会执行powershell恶意代码反弹Shell

//如下图所示：cs成功上线了靶机130

2、生成exe后门并测试

（1）cs新建监听器，监听9528端口：点击Add-->输入一系列信息；

（2）cs上生成exe后门并保存到本地：点击攻击-->点击生成后门-->点击Windows Executable-->选择9528监听器-->选择Windows EXE-->勾选x64-->点击Generate生成exe木马并保存到本地；
//如下图所示：生成exe后门

（3）把artifact.exe放到靶机并执行该后门，即可反弹会话到cs
//如下图所示：靶机上的artifact.exe成功运行
//如下图所示：cs上靶机成功上线，这里根据不同的pid来区分，刚刚的那个是5020，这个是4300

3、生成宏病毒后门并测试

（1）cs上新建监听器，监听9529端口：点击Add–>填写一系列信息；
//如下图所示：

（2）cs上生成宏病毒后门：点击攻击-->点击生成后门-->点击MS Office Macro-->选择9529监听器-->点击Generate生成宏病毒后门代码-->点击Copy Macro可以复制生成的代码-->然后再根据给出的步骤进行操作；
//如下图所示：生成宏病毒
//如下图所示：点击Generate后会生成说明书和代码的复制按钮

（3）攻击者根据说明书创建宏病毒文件：新建艳照门.docx文件-->然后点击视图-->点击宏-->输入宏名-->选择宏位置-->然后点击创建；
//如下图所示：创建宏，但是此处的宏代码用的是js，我们要用的是vb类型的，所以我们要下载插件并安装

（4）下载WPS宏插件：地址传送门

（5）下载宏文件后，再次创建宏：

//如下图所示：下载插件并安装后，这里的宏就是VB类型的了

//如下图所示：成功创建宏文件

（6）保存宏病毒后门文件：在创建的宏病毒文件里面，把复制的宏病毒代码粘贴进去-->ctrl+s保存-->点击否-->选择位docm文件保存下来；
//如下图所示：粘贴代码进文件

//如下图所示：点击否

//如下图所示：另存为docm类型的文件，保存到本地

（7）靶机打开艳照门.docm文档的时候，就会执行宏病毒，从而反弹会话到cs

//注意：WPS要有vb宏就必须要安装插件，因此靶机也要安装插件。