Cobaltstrike Office宏病毒利用
0x01 宏概述
宏是微软公司为其OFFICE软件包设计的一个特殊功能,软件设计者为了让人们在使用软件进行工作时,避免一再地重复相同的动作而设计出来的一种工具,它利用简单的语法,把常用的动作写成宏,当在工作时,就可以直接利用事先编好的宏自动运行,去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中的一些任务自动化。
计算机里面的宏叫做Macro,是一种批量批处理的称谓。Word中对宏定义为:“宏就是能组织到一起作为一独立的命令使用的一系列word命令,它能使日常工作变得更容易”。Microsoft Office使用宏语言VBA将宏作为一系列指令来编写。
宏可能引起宏病毒,它是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。
0x02 利用过程
首先创建一个监听器(Beacon HTTP)
生成宏病毒payload,选择攻击(Attacks)——>生成后门(Packages)——>MS Office Macro
然后选择一个监听器(Beacon HTTP),设置好后点击 Generate
然后点击 Copy Macro 复制生成的代码
然后打开word编辑器,点击视图,然后点击宏,自定义输入一个宏名,点击创建
将原本自带的代码清空,然后复制CobaltStrike生成的代码,保存退出
将该文档伪装后可通过钓鱼等手段发送给受害者,只要受害者是使用word打开,并且开启了宏,CobaltStrike就可以接收到受害者主机的shell
word开启禁用宏方法:文件—选项—信任中心—信任中心设置
参考文章
- http://www.scantime.cn/?p=317
- https://www.cnblogs.com/Cl0ud/p/13824021.html
Cobaltstrike Office宏病毒利用相关推荐
- CobaltStrike 生成office宏病毒进行钓鱼攻击
关于WORD宏: 在百度百科上有: 宏是一个批量处理程序命令,正确地运用它可以提高工作效率.微软的office软件允许用户自己编写,叫VBA的脚本来增加其灵活性,进一步扩充它的能力.如完打开word文 ...
- CS制作office宏病毒钓鱼
一.实验目的 1. 利用CobaltStrile生成word宏病毒的钓鱼payload,实现远程控制对方主机 二.实验器材 1.vmware 15.5 2.kali linux 3.cobaltstr ...
- Office宏病毒Virus.MSExcel.Agent.f的查杀方法
办法如下: 1.下载最新的360杀毒软件3.1.0.3073版安装: 2.打开360杀毒的右上角的设置按钮,将设置中"病毒扫描设置中需要扫描的文件类型,改为扫描所有文件":将&qu ...
- 360杀毒4.0版Office宏病毒免疫体验
现在,很多"办公族"喜欢到网上下载各种Word.Excel.PPT模板来简化自己的工作,但需要警惕的是,这类模板有些会携带"Office宏病毒",一旦感染,电脑 ...
- office漏洞利用--获取shell
环境: kali系统, windows系统 流程: 在kali系统生成利用文件, kali系统下监听本地端口, windows系统打开doc文件,即可中招 第一种利用方式, 适合测试用: 从git下载 ...
- office 宏病毒分析
1.样本信息 在网上下载样本,是一个word的宏病毒 名称 713-288-4192.doc MD5 61F1A99292A199F867B168B76FC8CC74 SHA1 967DA912065 ...
- Office 365 利用并行工作流构建威客式任务管理系统之使用SharePoint Designer 定制任务过期提醒!
我们发布了大量任务,总有任务可能会出现过期状态,我们自己不知道的情况,怎么办呢?其实我们可以设定一个工作流来追踪我们的工作流程,这个工作流程相对来说比较简单,大概只有两步即可完成.目标其实就是将我们的 ...
- Office 365 利用并行工作流构建威客式任务管理系统之使用SharePoint Designer 定制威客任务管理流程!
这里我们必须使用SharePoint Designer 来定制我们的MOSS 工作流,我们首先打开Designer,然后我们填写我们的网站的WEB地址: 接下来我们来找到对应的列表建立工作流,我们一共 ...
- 利用cobaltstrike加sqlmap拿下一个网站并提权
利用cobaltstrike加sqlmap拿下一个网站并提权 Cobalt Strike是一款基于java的渗透测试神器,常被业界人称为CS神器.自3.0以后已经不在使用Metasploit框架而作为 ...
最新文章
- matlab中simple是什么函数,[求助]Matlab2016b里没有simple函数
- Scrapy爬虫(8)scrapy-splash的入门
- ui automator viewer 怎么获取界面名_ui交互设计怎么样
- 【Python3爬虫】大众点评爬虫(搞定CSS反爬)
- Go程序:变量声明、赋值与输出
- 元素“Button”不是已知元素。原因可能是网站中存在编译错误,或者缺少web.config文件...
- python端口与c的区别_Python和C区别该如何理解?如何适应这种区别?
- 基于深度学习的番茄叶部病害识别模型
- python编程例子-python编程例子
- Android Spinner(下拉菜单)常用属性与点击事件获取值
- Caffe各版本与源码全透析
- 摄氏度和开氏度的换算_摄氏度、华氏度和开氏度有何区别?
- MATLAB | 迟到的圣诞树绘制
- 苹果7pnfc功能门禁卡_苹果手机门禁卡nfc功能
- Seo:入门须知(三)网页快照投诉
- POJ 1581 A Contesting Decision
- 深圳mba学费一览表
- 呆萌却实际可怕的动物:蛇鹫会踢腿 大熊猫攻击凶猛
- 照片去雾怎么操作?学会这招就不用担心雾化了
- 使用IO完善快递管理系统
热门文章
- Linux中如何使用Wireshark来分析数据包?
- 模拟UNIX文件系统的设计及实现操作系统大作业(含源文件)
- 更加智能地管理SD-WAN最后一英里-ielab
- 专访北邮教授孙松林:5G尚处第一阶段 中国定会独领风骚
- GRBL v1.1版本命令说明
- 测量学(四)测量点制图转CAD格式之注记转换
- office表格中图表导出pdf
- C4D制作lowpoly风格物体
- hp计算机主机报警 声,电脑开机报警响5声什么原因_电脑开机出现五声报警声如何解决-win7之家...
- 一文步入python大门,基础教程大全(25分钟)