一、实验目的
1. 利用CobaltStrile生成word宏病毒的钓鱼payload,实现远程控制对方主机
二、实验器材
1.vmware 15.5
2.kali linux
3.cobaltstrike
4.windows 10两台
5.office 2019
三、实验内容
1.让kali作为cs的服务器端,一个win10作为cs的客户端,另一个win 10作为被攻击者,先看kali的ip:10.138.128.128
2.进入cobaltstrike文件夹,查看默认的cs密码,输入./teamserver 10.138.128.128 123456开启服务。
3.登录用默认密码123456登录,进入cs客户端主界面,点击监听器,作为接收宏病毒反弹的接口。
4.给项目起一个名字,同时HTTP HOSTS写入kali的ip点击保存
5.点击攻击-生成后门-MS Office Macro(office宏病毒)
6.选择监听器的名字-test,使用反弹连接reverse_http,避免直接连接被防火墙阻挡
7.这里payload已经生成,现在去一台win10制作带有宏病毒的word.
8.勾选开发工具,在Normal模块中的ThisDocument中写入刚才的payload,并保存为.docm格式。
9.让攻击机点击带有宏病毒的文件,这可以看到被攻击者上线,对方已经被远程控制。(这里有三次是因为做了多次测试,最后才确定了宏病毒的配置制作)
10.目标主机被上线,可以做一些后续操作,比如执行文件管理操作,可以看到下方显示出了被攻击者的文件系统