CobaltStrike’s HTML Application

HTML Application介绍

   HTML应用,这种攻击需要用户的交互。CobaltStrike生成一个HTML应用hta,该应用中嵌入了一个Payload,通过URL下载这个文件到目标磁盘。运行后目标主机便可以返回会话给CS服务器。

    这里有必要科普一下什么是hta,HTML-Application缩写,直接将某个html页面保存成hta的格式,就是一个独立的应用软件,点开与网页内容并无区别,界面与VB、C++等程序语言所设计的软件界面没什么差别,显示为窗口交互界面。但是注意的是HTA虽然用HTML、JS和CSS编写,权限却比普通网页大得多,能够读写文件、操作注册表等。依赖于mshta.exe解析,而mshta.exe是系统下自带的。简单的来讲HTA是个披着web外衣的exe应用程序。

HTML Application实战

  • 使用HTML Application生成一个hta文件

    image-20210308170710596

    • 这里给hta提供了三种手法,Executable、PowerShell、VBA,这里我使用在hta中封装Powershell的方式。

image-20210308170718852

image-20210308170727333

  • 建立web服务器环境:

image-20210308170816382

  • Mime类型:设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。

    image-20210308170827633

    image-20210308170836245

  • 当有局域网的主机访问该URL并进行完用户交互后,便会反弹shell给CS Server

    image-20210308170846523