攻防演练对抗赛之初识文件钓鱼

今年参加了几次攻防演练对抗赛，其它队伍依靠社工结合文件钓鱼得了不少分，自己之前并没有相关知识的积累，因此在这个方面吃了一些亏。

宏是微软公司为其OFFICE软件包设计的一个特殊功能，有着独特的文件后缀名，如：xlsm，docm，pptm等。

-f指定生成vba宏语言的攻击payload

首先新建一个支持文件宏的office文件，以.docm进行演示。

首先选择文件-选项-自定义功能区-开发工具。

点击宏按钮，创建一个新的文件宏。

把msf生成的宏代码复制到代码框中。

保存文件，一个msf的反弹文件制作完成。

msf开启监听。

打开生成的1.docm文档。

出现安全警告，提升宏被禁用，点击启用内容。

成功上线。

cs也支持生成office宏代码。

选择一个监听器，直接复制代码到宏代码框中。

上线成功。

类似office宏还有一些其它利用方式，如DOCX文档远程模板注入执行宏，还可以通过shellcode进行免杀处理。

在实战中，首先尽可能社工目标的各种信息，取得对方信任，根据钓鱼的目标，修改文档的名字，通过邮箱进行发送，如xx公司采购说明。

office宏钓鱼存在几大不适用性：

1、对方电脑未使用office。

2、office默认禁用宏，打开文件会进行提示。

3、独特的宏文件后缀，docm，xlsm等，容易引起他人怀疑。

4、免杀性要求较高。

全局宏建立持久性后门

office宏除了用于钓鱼，还可以用来建立隐蔽的持久性后门。

新建一个宏，位置要选择所有活动模版和文档。