前言

在红队工作中,社工钓鱼会是最常见的攻击手段,同样蓝队工作中,蓝队可以通过反制红队获取加分。所以本文就简单说DLL劫持+重制安装包在钓鱼与反钓鱼中的利用。

钓鱼中的利用

在钓鱼攻击中,我们可以使用这种DLL劫持+重制安装包的方法来进行钓鱼是非常有效的。我们可以通过一些软件更新等说辞去下发恶意的安装包,恶意的安装包的安装过程逼真,同时程序正常功能都可以完美的运行。更不会使目标怀疑。

反钓鱼中的利用

在蓝队可以利用此方法来反制红队,例如:我们可以在自己准备好的虚拟机中点击红队发送过来的钓鱼邮件。并在虚拟机中准备一些让红队比较感兴趣的东西。

例如下图中的已准备好的“VPN安装包“+“VPN账号密码”。

1591860417627

当红队队员将这些安装包和账号密码传回自己本地进行安装并运行时,我们就可以成功的反控红队队员的机器了。

DLL劫持+重制安装包具体操作

DLL劫持

这里可以用到拿破轮胎大佬写DLL注入工具

1591857292811

使用方法:

  1. 输入cs或者msf生成shellcode生成免杀dll文件
  2. 添加需要劫持的软件或者dll
  3. 劫持过后会在运行目录生成一个Dll和inf配置文件
  4. 需要把两个文件放在被劫持的软件同目录下才可运行

这里以某国产VPN为例:

1591857458850

注入后,将wwwcomw.dll和conf.inf放到软件同目录下。

当运行软件时就能上线了。

1591857775627

重新制作安装包

这里用到的工具是NSIS。

1591858513031

制作过程就不写了,有兴趣的可以去百度找找使用说明。

https://www.cnblogs.com/modou/p/3573772.html

成功打包

1591859259316

安装包制作效果

1591861324722

安装过程效果:

1591861332658

安装完成后,可自动运行,并创建桌面快捷方式。

1591861356475

运行后,成功上线

1591861391762

总结

本文只是简单说下DLL劫持+重制安装包在钓鱼和反钓鱼中的利用,文中的工具和DLL可能存在不免杀和实战中的更多细节内容可自行解决~