思路:CS生成宏病毒插入到office中
什么是宏
宏(Macro)是一种批量处理的称谓,是指能组织到一起作为独立的命令使用的一系列Word命令,可以实现任务执行的自动化,简化日常的工作。Microsoft Office使用Visual Basic for Applications(VBA)进行宏的编写。
注意,在Office中可以直接使用Word的宏函数,而WPS需要安装相关的软件后才能使用。打开WPS Word如下图所示,宏是不能使用的。
宏病毒
那么,什么又是宏病毒呢?
宏病毒是一种寄存在文档或模板的宏中的计算机病毒,存在于数据文件或模板中(字处理文档、数据表格、数据库、演示文档等),使用宏语言编写,利用宏语言的功能将自己寄生到其他数据文档。
最早的时候,人们认为数据文档是不可能带有病毒的,因为数据文档不包含指令,直到宏病毒出现才改变大家的看法。当我们打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。
开启宏
启动office,选项->自定义功能区->开发工具
创建宏
先创建一个宏,然后进入vb代码编写界面
(如果主机上线失败,建议清空vb里面的内容,直接粘贴宏代码)
CS
创建监听器
生成宏代码
粘贴进去,然后保存,如果出现弹窗说不能保存,选择“是”
保存
回退到office页面,“保存类型”选择“启用宏的Word文档(*.docm)”
上线
手机收到上线通知,快乐
当然不能免杀了,直接gg,不过有意思的是,虽然office文件被杀毒软件毙了,但是文件还是能打开,然后主机上线了
免杀
免杀方面使用远程加载的方式
缺点
目标主机的网速决定了加载远程模版的速度。有可能文件打开的会特别慢(例如将远程模版放在github),受害者可能在文件打开一半的时候强制关闭word。
优点
因为是远程加载,所以免杀效果十分不错。基本不会被杀毒软件拦截。
制作恶意文档
还是熟悉的方式
注意保存类型
接下来先试试能不能用,鼠标右键选择“打开”(双击是“新建”),发现可以上线
上传服务器
既然是远程加载是需要把刚才制作的恶意文档上传上去,我这里图省事,就用phpstudy了,首先获取到文件路径
接着在URL后面添加?raw=true得到
制作本地文档
因为是远程加载嘛,所以我们还需要新建一个文档来远程加载服务器上的文档,新家文档的话,随意选择一个模板,双击保存退出
鼠标右键,选择使用解压缩软件打开这个文档,修改Target的值为刚才制作的URL
上线
打开文档,启用宏
显示有3个主机,是由于前面做测试
在线查杀,也没啥好查的,毕竟只是修改了一下Target的属性
启用火绒
启动火绒之后
火绒nb,不玩了
参考:
钓鱼那些事(初入Office宏攻击)
钓鱼与社工系列之office宏
CobaltStrike,你有一台主机上线了
远程加载含有恶意代码的word模版文件上线CS
白担心了 原来火绒这样清除病毒并不会删除文件
宏病毒之入门基础、防御措施、自发邮件及APT28样本分析