office宏攻击

最新推荐文章于 2023-10-07 10:58:24 发布
最新推荐文章于 2023-10-07 10:58:24 发布
阅读量2.3k 收藏 19
点赞数 1
分类专栏: 杂项 文章标签: 钓鱼
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44288604/article/details/111059633
版权


思路:CS生成宏病毒插入到office中

什么是宏

宏(Macro)是一种批量处理的称谓,是指能组织到一起作为独立的命令使用的一系列Word命令,可以实现任务执行的自动化,简化日常的工作。Microsoft Office使用Visual Basic for Applications(VBA)进行宏的编写。

注意,在Office中可以直接使用Word的宏函数,而WPS需要安装相关的软件后才能使用。打开WPS Word如下图所示,宏是不能使用的。

宏病毒

那么,什么又是宏病毒呢?
宏病毒是一种寄存在文档或模板的宏中的计算机病毒,存在于数据文件或模板中(字处理文档、数据表格、数据库、演示文档等),使用宏语言编写,利用宏语言的功能将自己寄生到其他数据文档。

最早的时候,人们认为数据文档是不可能带有病毒的,因为数据文档不包含指令,直到宏病毒出现才改变大家的看法。当我们打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。

开启宏

启动office,选项->自定义功能区->开发工具
在这里插入图片描述

创建宏

先创建一个宏,然后进入vb代码编写界面
在这里插入图片描述
(如果主机上线失败,建议清空vb里面的内容,直接粘贴宏代码)
在这里插入图片描述

CS

创建监听器

在这里插入图片描述

生成宏代码

在这里插入图片描述
粘贴进去,然后保存,如果出现弹窗说不能保存,选择“是”
在这里插入图片描述

保存

回退到office页面,“保存类型”选择“启用宏的Word文档(*.docm)”
在这里插入图片描述

上线

在这里插入图片描述
手机收到上线通知,快乐
在这里插入图片描述
当然不能免杀了,直接gg,不过有意思的是,虽然office文件被杀毒软件毙了,但是文件还是能打开,然后主机上线了
在这里插入图片描述

在这里插入图片描述

免杀

免杀方面使用远程加载的方式

缺点
目标主机的网速决定了加载远程模版的速度。有可能文件打开的会特别慢(例如将远程模版放在github),受害者可能在文件打开一半的时候强制关闭word。

优点
因为是远程加载,所以免杀效果十分不错。基本不会被杀毒软件拦截。

制作恶意文档

还是熟悉的方式
在这里插入图片描述
注意保存类型
在这里插入图片描述
接下来先试试能不能用,鼠标右键选择“打开”(双击是“新建”),发现可以上线
在这里插入图片描述

上传服务器

既然是远程加载是需要把刚才制作的恶意文档上传上去,我这里图省事,就用phpstudy了,首先获取到文件路径
在这里插入图片描述
接着在URL后面添加?raw=true得到
在这里插入图片描述

制作本地文档

因为是远程加载嘛,所以我们还需要新建一个文档来远程加载服务器上的文档,新家文档的话,随意选择一个模板,双击保存退出
在这里插入图片描述
鼠标右键,选择使用解压缩软件打开这个文档,修改Target的值为刚才制作的URL
在这里插入图片描述

上线

打开文档,启用宏
在这里插入图片描述
显示有3个主机,是由于前面做测试
在这里插入图片描述
在线查杀,也没啥好查的,毕竟只是修改了一下Target的属性
在这里插入图片描述

启用火绒

启动火绒之后
在这里插入图片描述
火绒nb,不玩了

参考:
钓鱼那些事(初入Office宏攻击)
钓鱼与社工系列之office宏
CobaltStrike,你有一台主机上线了
远程加载含有恶意代码的word模版文件上线CS
白担心了 原来火绒这样清除病毒并不会删除文件
宏病毒之入门基础、防御措施、自发邮件及APT28样本分析

lainwith
关注
  • 1
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
研究人员发现Office Word 0Day攻击 这个漏洞绕过了word安全设置 绿盟科技、McAfee及FireEye发出警告...
weixin_33966365的博客
09-01 308
这次的0Day漏洞确实很厉害,以往攻击者诱使用户点击Word文档,由于其中包含了恶意脚本,大多数需要用户启用了。但这次的漏洞不是,受害者无需启用,也会中招,而且漏洞覆盖Windows所有版本(包括Windows 10)。三个安全厂商均发布安全威胁通告,通告全文如下 绿盟科技《Microsoft Office Word 0day远程代码执行漏洞安全...
渗透测试-地基钓鱼篇-Word文档注入执行恶意(二十四)
qq_34801745的博客
12-17 2879
** 渗透测试-地基钓鱼篇-Word文档注入执行恶意(二十四) ** 作者:大余 时间:2020-12-16 简介: 渗透测试-地基篇: 该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油学到东西。 请注意: 对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。 名言: 你对这行的兴趣,决定
Office(word)渗透攻击实战案例
Goallegoal的博客
05-02 1236
Office(word)渗透攻击实战案例 MS10-087 如果用户打开或预览特制的RTF电子邮件,则最严重的漏洞可能允许远程执行代码。成功利用这些漏洞中的任何一个的攻击者可以获得与本地用户相同的用户权限。与使用管理用户权限进行操作的用户相比,将其帐户配置为在系统上具有较少用户权限的用户受到的影响较小。 低版本的word版本会出现RTF文件漏洞。 攻击复现 msf > search ms10...
利用Office及Powershell的针对性攻击样本分析
weixin_30437337的博客
03-08 200
360安全卫士 · 2016/06/24 13:25Author:360天眼安全实验室0x00 背景人在做,天在看。利用Powershell执行攻击由于其绕过现有病毒查杀体系的有效性,已经成为目前日益泛滥的攻击手段,不论普遍撒网的勒索软件还是定向的针对性攻击都有可能采用。360天眼实验室一直对此类样本做持续的监测, 5月份以来,我们注意到一类比较特别的样本,发现其有两个比较鲜明的特点。利用Exce...
CS+Office钓鱼攻击
weixin_68652890的博客
07-31 399
CS+Office钓鱼攻击
CobaltStrike 生成office病毒进行钓鱼攻击
good good study
02-25 2975
简单来说WORD可以让用户编写VBA脚本来灵活操作WORD,是Office软件设计者为了让人们使用软件进行工作时,避免一再重复相同的动作,而设计出来的一种工具。
BurpSuite Macros 攻击CSRF
2301_77004573的博客
10-07 142
选定要提取的token所在请求。
office专杀
03-06
标题中的“Office专杀”指的是针对Microsoft Office文档中恶意的清除工具。是一种编程功能,允许用户自定义Excel、Word等Office应用程序的行为。然而,不法分子有时会利用来传播病毒或恶意软件,这给用户的...
office病毒专杀
05-27
【标题】"Office病毒专杀"涉及到的是关于Microsoft Office软件中的病毒防治技术。病毒是一种利用Office文档中的语言编写,能够在用户打开含有恶意的文档时自动执行的恶意代码。这些病毒通常通过电子邮件、...
office 病毒专杀工具
08-31
【标题】"Office病毒专杀工具"是一个专门针对Microsoft Office文档中潜藏的病毒进行查杀的软件。病毒是一种利用Office软件中的VBA(Visual Basic for Applications)语言编写,能够在用户打开含有恶意的...
Office病毒Virus.MSExcel.Agent.f的查杀方法
weixin_34187822的博客
12-03 472
办法如下: 1.下载最新的360杀毒软件3.1.0.3073版安装; 2、打开360杀毒的右上角的设置按钮,将设置中“病毒扫描设置中需要扫描的文件类型,改为扫描所有文件”;将“多引擎设置中常规反病毒引擎,设为bitdefender”,点击确定。 3.点击升级为最新病毒库; 4、然后点击病毒扫描中的“OFFICE病毒”,开始杀毒,就能够发现被感染的文件,点击处理,...
Kali渗透测试:使用Word病毒进行渗透攻击
Liu_Bruce的博客
05-14 4361
Kali渗透测试:使用病毒进行渗透攻击 VBA是基于Visual Basic发展而来的,与Visual Basic具有相似的语言结构。使用VBA可以完成很多事情,基于Excel、Word的VBA小程序不计其数。病毒在Word中引入之后出现的。目前Office 是较为流行的编辑软件,并且跨越了多种操作系统,病毒利用这一点得到了大范围的传播。 构造一个包含病毒的Word文件也并不复杂,只要编写一个Auto_Open函数,就可自动引发病毒。 在Word打开这个文件时, 病毒会执行, 然后感染其他文件或
Mac上首次出现word恶意软件,可窃取用户敏感数据
weixin_33859231的博客
09-25 190
本文讲的是Mac上首次出现word恶意软件,可窃取用户敏感数据, 以前word恶意软件攻击的对象一直是Windows系统电脑,但是现在黑客们的兴趣开始转向Mac。的概念可以追溯到20世纪90年代,是自动执行任务的一系列命令集。Microsoft Office支持用VBA(Visual Basic Application)语言来编写,但是黑客们也...
[系统安全] 十九.病毒之入门基础、防御措施、自发邮件及样本分析
杨秀璋的专栏
02-04 8270
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列。因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全、逆向分析和恶意代码检测,“系统安全”系列文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。换专业确实挺难的,逆向分析也是块硬骨头,但我也试试,看看自己未来四年究竟能将它学到什么程度,漫漫长征路,偏向虎山行。享受过程,一起加油~ 作者前文介绍了病毒原理和防御知识,并通过批处理代码和漏洞(CVE-2018-202
WPS Office病毒实现shell反弹
Zyecho的博客
10-21 2642
WPS Office病毒实现shell反弹
Word病毒
热门推荐
qq_43717119的博客
06-22 1万+
Word病毒 【实验目的】 1、演示的编写。 2、说明的原理及其安全漏洞和缺陷。 3、理解病毒的作用机制,从而加强对病毒的认识,提高防范意识。 【实验环境】 在windows虚拟机中演示word病毒的发生机制,以及如何清除病毒的一系列操作病毒样本:自我复制及感染病毒(copy.txt)类台湾一号病毒(No1.txt) 实验注意事项:为了保证该试验不至于造成较大破坏性,进行实验感染后,被感染终端不要打开过多的word文档,否则清除比较麻烦(对每个打开过的文档都要清除)。 【实验预备知识点】 Wo
Word木马
weixin_43047908的博客
06-19 1712
目录前言一、是什么?二、如何录制一个使用隐藏文字什么是病毒编写病毒防御措施 前言 本文仅讨论windows office系列,wps系列原理大致相同。 一、是什么? 就是一些命令组织在一起,作为一个单独命令完成一个特定任务。Microsoft Word中对定义为:“就是能组织到一起作为一独立的命令使用的一系列word命令,它能使日常工作变得更容易”。Word使用语言Visual Basic将作为一系列指令来编写。 又分为局部和全局:全局对所有文档都有效,局部只对本文档有效.
&一个简单的病毒示例
dengdouweng1282的博客
06-30 2055
基于VisualBasicForApplications 其一:录制 在word,视图,,录制选项。 操作比较简单,不再赘述。 (注意根据需求选择normal还是当前文档) 例如:录制:快捷键设为空格,将某些字段设为隐藏/空白。可以隐藏信息。(虽然很简陋) 其二:编辑 视图 查看 创建 (注意根据需求选择normal还是当前文档) CDO组件发送邮件。 用了ActiveD...
网络安全攻击csdn
最新发布
11-01
网络安全中的攻击是一种常见的网络安全威胁,它可以通过对CSDN等网站进行恶意代码注入攻击来获取用户的敏感信息。 攻击通常发生在办公软件中,例如Microsoft Office等,攻击者利用恶意代码作为附件发送给用户,并诱导用户点击打开,一旦用户打开该文件,恶意代码就会自动执行。这些恶意代码往往会利用办公软件的功能,例如自动下载恶意软件、窃取敏感信息,或者在用户不知情的情况下改变文档的内容。 针对CSDN等网站的攻击攻击者可能会通过发送伪造的邮件,诱骗用户点击附件或链接,从而执行恶意代码。一旦用户执行了恶意代码攻击者便可以获取用户的个人信息、登录凭证等敏感信息。 为了防范攻击,用户可以采取以下几种防护措施。首先,要注意不打开来自不信任源的邮件或下载不明文件,特别是包含附件或链接的邮件。其次,及时更新操作系统和办公软件,确保系统和软件的安全补丁得到修复。此外,安装并定期更新杀毒软件和防火墙,提高系统的安全性。 对于CSDN等网站来说,提高用户的安全意识和培训也是非常重要的。网站可以通过提供有关网络安全的教育资源、发布警示信息等方式,帮助用户识别和避免攻击。此外,CSDN等网站也应该加强网站的安全措施,例如使用HTTPS协议进行数据传输、增加用户登录验证等,以确保用户的安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值