关于BobTheSmuggler
BobTheSmuggler是一款专为红队研究人员开发和设计的Payload生成工具,该工具基于利用HTML Smuggling技术实现其功能,可以帮助广大红队研究人员创建包含嵌入式7z/zip压缩文档的HTML文件。
BobTheSmuggler可以将我们的代码(EXE/DLL)压缩为7z/zip格式,并对文档进行XOR加密,最后将所有数据隐藏进PNG/GIF图片文件格式中(图像隐写)。嵌入在HTML文件中的JavaScript脚本将负责下载PNG/GIF文件,并将其存储到缓存中。接下来,JavaScript脚本还会提取PNG/GIF文件中嵌入的数据,然后对其进行汇编并执行XOR解密,最终将其存储为内存中的Blob。
工具运行流程
该工具的运行流程和执行机制如下图所示:
当前版本的BobTheSmuggler支持下列Payload交付链:
1、.EXE/.DLL --> .7z/.Zip (受密码保护) --> .JS --> .HTML
2、.EXE/.DLL --> .7z/.Zip (受密码保护) --> .JS --> .SVG --> .HTML
3、.EXE/.DLL --> .7z/.Zip (受密码保护) --> .PNG/.GIF --> .JS --> .HTML
4、.EXE/.DLL --> .7z/.Zip (受密码保护) --> .PNG/.GIF --> JS --> .SVG --> .HTML
关键功能
1、隐蔽型文件隐藏:可以将任何文件类型(EXE/DLL)安全地嵌入HTML页面、PNG、GIF和SVG文件中,确保数据隐藏在有效的位置;
2、通用型嵌入:支持以多种数据格式嵌入文件,以满足不同的需求和场景,灵活性强;
3、高级混淆功能:利用了复杂的技术对嵌入的数据进行混淆,进一步增强安全性并降低检测风险;
4、自定义模板支持:允许使用自定义HTML和SVG模板进行嵌入,提供个性化和特定于上下文的隐藏支持;
5、直观的界面:提供了易于使用的命令行界面,使技术型和非技术型用户都可以轻松使用它;
6、可视化验证:提供了针对PNG文件的可视化工具,允许用户以可视化方法确认数据是否嵌入成功;
工具要求
在运行该工具之前,我们首先需要使用下列命令安装工具的依赖组件:
pip install python-magic py7zr pyminizip
注意,在安装python-magic之前,你还需要在本地设备上安装好libmagic库【文档】。
工具安装
由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。
接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/TheCyb3rAlpha/BobTheSmuggler.git cd BobTheSmuggler
工具使用
工具安装完成之后,我们就可以直接运行下列命令来执行BobTheSmuggler了:
python3 BobTheSmuggler.py -h
======================================================================
██████╗ ██████╗ ██████╗ ████████╗██╗ ██╗███████╗
██╔══██╗██╔═══██╗██╔══██╗ ╚══██╔══╝██║ ██║██╔════╝
██████╔╝██║ ██║██████╔╝ ██║ ███████║█████╗
██╔══██╗██║ ██║██╔══██╗ ██║ ██╔══██║██╔══╝
██████╔╝╚██████╔╝██████╔╝ ██║ ██║ ██║███████╗
╚═════╝ ╚═════╝ ╚═════╝ ╚═╝ ╚═╝ ╚═╝╚══════╝
███████╗███╗ ███╗██╗ ██╗ ██████╗ ██████╗ ██╗ ███████╗██████╗
██╔════╝████╗ ████║██║ ██║██╔════╝ ██╔════╝ ██║ ██╔════╝██╔══██╗
███████╗██╔████╔██║██║ ██║██║ ███╗██║ ███╗██║ █████╗ ██████╔╝
╚════██║██║╚██╔╝██║██║ ██║██║ ██║██║ ██║██║ ██╔══╝ ██╔══██╗
███████║██║ ╚═╝ ██║╚██████╔╝╚██████╔╝╚██████╔╝███████╗███████╗██║ ██║
╚══════╝╚═╝ ╚═╝ ╚═════╝ ╚═════╝ ╚═════╝ ╚══════╝╚══════╝╚═╝ ╚═╝
======================================================================
usage: BobTheSmuggler.py [-h] -i EXE_FILE [-p PASSWORD] -f OUTPUT_HTML -o OUTPUT_FILENAME -t {html,svg,png,gif} [-c {7z,zip}] [-u PNG_URL] [-png PNG_FILE] [-gif GIF_FILE] [-e CUSTOM_FILE] [-v]
Hides EXE/DLL file inside an HTML/SVG file.
optional arguments:
-h, --help 显示工具帮助信息和退出
-i EXE_FILE 要嵌入的EXE/DLL文件路径
-p PASSWORD 压缩所使用的密码
-f OUTPUT_HTML 输出HTML文件路径
-o OUTPUT_FILENAME 输出文件名称(Payload就在里面)
-t {html,svg,png,gif} 嵌入模板文件类型
-c {7z,zip} 压缩格式:7z或zip (默认: zip)
-u PNG_URL 嵌入PNG图片的URL地址
-png PNG_FILE 嵌入EXE/DLL的PNG文件路径
-gif GIF_FILE 嵌入EXE/DLL的GIF文件路径
-e CUSTOM_FILE 要克隆为模板的HTML文件
-v, --verbose 启用Verbose日志记录
工具使用样例
将SharpHound.exe压缩为7z格式(受密码保护),并存储到一个HTML文件中:
python3 BobTheSmuggler.py -i path/to/SharpHound.exe -p 123456 -c 7z -f SharpHound.html -o SharpHound.7z -t html
创建一个HTML文件,并将嵌入式Payload隐藏在其中的PNG文件中:
python3 BobTheSmuggler.py -i <Input_file_path> -p <password_to_encrypt> -f <output_HTML_filename> -o <Output 7z/zip filename stored inside HTML> -t png test.png
将嵌入式Payload隐藏在GIF文件中:
python3 BobTheSmuggler.py -i <Input_file_path> -p <password_to_encrypt> -f <output_HTML_filename> -o <Output 7z/zip filename stored inside HTML> -t gif test.gif
.EXE/.DLL --> .7z --> .PNG --> .SVG --> .HTML链执行:
python3 BobTheSmuggler.py -i <Input_file_path> -p <password_to_encrypt> -f <output_HTML_filename> -o <Output 7z/zip filename stored inside HTML> -t svg -e <Custom_SVG_Template>
许可证协议
本项目的开发与发布遵循MIT开源许可协议。
项目地址
BobTheSmuggler:【GitHub传送门】
参考资料
4A评测 - 免责申明
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!
程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。
侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)
