Cobaltstrike Office宏病毒利用

最新推荐文章于 2023-12-12 20:21:25 发布
最新推荐文章于 2023-12-12 20:21:25 发布
阅读量1k 收藏 6
点赞数
分类专栏: CobaltStrike 渗透测试 文章标签: Cobaltstrike 渗透测试 Office 宏病毒 Office宏
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43571641/article/details/123061822
版权

0x01 宏概述

宏是微软公司为其OFFICE软件包设计的一个特殊功能,软件设计者为了让人们在使用软件进行工作时,避免一再地重复相同的动作而设计出来的一种工具,它利用简单的语法,把常用的动作写成宏,当在工作时,就可以直接利用事先编好的宏自动运行,去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中的一些任务自动化。

计算机里面的宏叫做Macro,是一种批量批处理的称谓。Word中对宏定义为:“宏就是能组织到一起作为一独立的命令使用的一系列word命令,它能使日常工作变得更容易”。Microsoft Office使用宏语言VBA将宏作为一系列指令来编写。

宏可能引起宏病毒,它是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。

0x02 利用过程

首先创建一个监听器(Beacon HTTP)

生成宏病毒payload,选择攻击(Attacks)——>生成后门(Packages)——>MS Office Macro

然后选择一个监听器(Beacon HTTP),设置好后点击 Generate

然后点击 Copy Macro 复制生成的代码

然后打开word编辑器,点击视图,然后点击宏,自定义输入一个宏名,点击创建

将原本自带的代码清空,然后复制CobaltStrike生成的代码,保存退出

将该文档伪装后可通过钓鱼等手段发送给受害者,只要受害者是使用word打开,并且开启了宏,CobaltStrike就可以接收到受害者主机的shell

word开启禁用宏方法:文件—选项—信任中心—信任中心设置

参考文章

  • http://www.scantime.cn/?p=317
  • https://www.cnblogs.com/Cl0ud/p/13824021.html
Luckysec
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
关于使用Cobalt Strike制作宏病毒
m0_52027565的博客
07-08 1947
关于使用Cobalt Strike制作宏病毒 事情的起因经过是这样的,那天晚上我正在埋头学习,突然小A走了过了,过来说他喜欢班花小B很久了,我一脸不相信的看着他,好家伙,竟然忍了整整一年,大一不表白,现在晚了吧?我看来看小A心想这小子突然开窍了吗?结果现实给了我一巴掌,小A说大一就想表白了,可他自己不确定小B到底喜不喜欢他,就一直拖着,直到大二。想让我帮忙查查小B的喜好,然后“投其所好”直接表白。我看在他一年单相思(不对是烧烤+啤酒)的份上,不忍心看着他单着,于是同意帮小A帮查查小B的喜好。...
Office宏病毒清除免疫工具
02-18
清除电脑中的宏病毒; 阻止宏病毒在文件之间感染;
CobaltStrike 生成office宏病毒进行钓鱼攻击
good good study
02-25 2970
简单来说WORD可以让用户编写VBA脚本来灵活操作WORD,是Office软件设计者为了让人们使用软件进行工作时,避免一再重复相同的动作,而设计出来的一种工具。
cobaltstrike 宏病毒实践
守拙的博客
09-12 656
cobaltstrike 宏病毒利用实践
CobaltStrike钓鱼及shellcode 实验详细
HAKUNAMATATATTA的博客
02-01 1246
通过该实验了解CS的office钓鱼,端口转发及shellcode生成
cobltstrike--.exe&宏病毒&.hta&powershell
Z_l123的博客
01-19 3375
子域名爆破工具 1.安装爆破工具subDomainsBrute git clone https://github.com/lijiejie/subDomainsBrute 2.增加执行权限 进入工具的文件夹,使用命令chomd +x subDomainsBrute给执行脚本程序赋予执权限
CobaltStrike4.7
11-29
cobalt strike(简称CS)是一款...Cobalt Strike集成了端口转发、扫描多模式端口Listener、Windows exe程序生成、Windows dll动态链接库生成、java程序生成、office代码生成,包括站点克隆获取浏览器的相关信息等。
office宏病毒专杀
05-27
宏病毒是一种利用Office文档中的语言编写,能够在用户打开含有恶意的文档时自动执行的恶意代码。这些病毒通常通过电子邮件、网络下载或者感染的U盘等途径传播,对用户的系统安全构成威胁。 【描述】"Office...
Office宏病毒专杀
04-08
如果你遇到“EXCEL保存提示隐私问题警告:此文档中包含,activx控件,或web组件......”或者excel打开提示“此工作簿已丢失其VBA项目,ActiveX控件.....”等等,赶快下载此软件安装并选择全盘杀毒吧。
OFFICE宏病毒专杀
04-08
宏病毒是一种利用Microsoft Office的内置语言(如Visual Basic for Applications, VBA)编写的恶意代码,它通常隐藏在Word、Excel或PowerPoint等文档中,当用户打开带有的文件时,病毒会自动执行,感染用户的...
Office病毒专杀EXCEL宏病毒专杀
05-28
Office病毒专杀工具,EXCEL宏病毒专杀工具,WORD宏病毒专杀工具,如果中了EXCEL宏病毒的同学可以杀下,效果还可以
OFFICE病毒专杀
02-12
OFFICE病毒专杀工具,一键式,可以查杀各种病毒恶意程序
office病毒专杀
03-07
用于解决office(word,excel)安全模式等,病毒专用工具,专杀office病毒。
Office生成宏病毒配合msf+cobaltstrike夺取主机控制权
洞若观火
10-08 5998
启动cobaltstrike服务端并连接 #msfdb init   //初始化msf数据库 进入cobaltstrike目录下 #./teamsercer <本机ip> <设置连接密码> 生成payload 选择名为456的监听端口,x64 名为12345的监听端口,x86提权时会失败 点击复制 打开word文档 视图-->-->查看 设置...
office文档病毒分析整体思路
qq_45844442的博客
11-14 1385
1.打开office文档时,看看加载页面是否有相关下载连接服务器等字眼,如果出现则说明利用的远程注入,直接以压缩包方式打开该文档到/word/_rels/settings.xml.rels 这个文件中查看相应的连接地址。2.进入文档后看看是否有提示说启用或者启用应用程序等字眼,有该提示说明有文件或者DDE命令,直接去编辑器查看命令,将。5.对于VBA工程锁定不可查看这种情况,可以试着使用EvilClippy工具进行解除锁定,命令如下。打开即可在文档页面查看到该DDE命令。
cobaltstrike生成后门对office反弹shell
qq_25768397的博客
08-24 1034
1、环境准备: cobaltstrike 3.14 win7企业版 office2016 注:cobaltstrike不能在win7运行 2、配置cobaltstrike服务端跟客户端,具体怎么配置省略,网上有教程。 3、生成后门,复制代码,配置office,勾上office开发工具,然后打开office开发工具,复制进去后保存,保存版本使用97-2003版本。 4、生成word后,直接双击,当双击时会提示启用就点启用。 5、打开cobaltstrike查看是否成功 ...
CobaltStrike 三种上线方式(exe、宏病毒、PowerShell)
最新发布
weixin_51559599的博客
12-12 537
上一篇文章。
Cobalt-Strike Office利用与免杀
weixin_48967543的博客
04-29 1635
1.打开Cobalt-Strike生产Office宏病毒。 首先需要设置监听器、因为钓鱼的目标比较单纯,在这里就不采用域前置技术。 然后使用攻击模块,生产Office宏病毒。 设置好监听器。 生成宏病毒 2.将宏病毒放入word 首先打开Word,在审阅中编辑: 创建新的: 将生成的宏病毒放入Microsoft Word目录下的ThisDocument,注意如果位置写错了很容易报错。 按下Ctrl+S,将文件保存为启用的Word文档,注意这里的作者需要修改,否则默认会使用账户名 此时带宏病毒的Wo.
webpack 源码泄露
热门推荐
LuckySec
12-03 1万+
webpack是一个JavaScript应用程序的静态资源打包器(module bundler)。它会递归构建一个依赖关系图(dependency graph),其中包含应用程序需要的每个模块,然后将所有这些模块打包成一个或多个bundle。大部分Vue等项目应用会使用webpack进行打包,如果没有正确配置,就会导致项目源码泄露,可能泄露的各种信息如API、加密算法、管理员邮箱、内部功能等等。
【建议收藏】CS学习笔记合集 _ Teams Six1
08-03
它集成了多种功能,如端口转发、多模式监听器、Windows程序和DLL生成、Java程序生成、Office代码生成以及站点克隆等,用于获取浏览器信息。早期,CobaltStrike依赖于Metasploit框架,但现在它已独立成为一个平台。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Luckysec

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值