0x01 宏概述

宏是微软公司为其OFFICE软件包设计的一个特殊功能,软件设计者为了让人们在使用软件进行工作时,避免一再地重复相同的动作而设计出来的一种工具,它利用简单的语法,把常用的动作写成宏,当在工作时,就可以直接利用事先编好的宏自动运行,去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中的一些任务自动化。

计算机里面的宏叫做Macro,是一种批量批处理的称谓。Word中对宏定义为:“宏就是能组织到一起作为一独立的命令使用的一系列word命令,它能使日常工作变得更容易”。Microsoft Office使用宏语言VBA将宏作为一系列指令来编写。

宏可能引起宏病毒,它是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。

0x02 利用过程

首先创建一个监听器(Beacon HTTP)

生成宏病毒payload,选择攻击(Attacks)——>生成后门(Packages)——>MS Office Macro

然后选择一个监听器(Beacon HTTP),设置好后点击 Generate

然后点击 Copy Macro 复制生成的代码

然后打开word编辑器,点击视图,然后点击宏,自定义输入一个宏名,点击创建

将原本自带的代码清空,然后复制CobaltStrike生成的代码,保存退出

将该文档伪装后可通过钓鱼等手段发送给受害者,只要受害者是使用word打开,并且开启了宏,CobaltStrike就可以接收到受害者主机的shell

word开启禁用宏方法:文件—选项—信任中心—信任中心设置

参考文章

  • http://www.scantime.cn/?p=317
  • https://www.cnblogs.com/Cl0ud/p/13824021.html

Cobaltstrike Office宏病毒利用相关推荐

  1. CobaltStrike 生成office宏病毒进行钓鱼攻击

    关于WORD宏: 在百度百科上有: 宏是一个批量处理程序命令,正确地运用它可以提高工作效率.微软的office软件允许用户自己编写,叫VBA的脚本来增加其灵活性,进一步扩充它的能力.如完打开word文 ...

  2. CS制作office宏病毒钓鱼

    一.实验目的 1. 利用CobaltStrile生成word宏病毒的钓鱼payload,实现远程控制对方主机 二.实验器材 1.vmware 15.5 2.kali linux 3.cobaltstr ...

  3. Office宏病毒Virus.MSExcel.Agent.f的查杀方法

    办法如下: 1.下载最新的360杀毒软件3.1.0.3073版安装: 2.打开360杀毒的右上角的设置按钮,将设置中"病毒扫描设置中需要扫描的文件类型,改为扫描所有文件":将&qu ...

  4. 360杀毒4.0版Office宏病毒免疫体验

    现在,很多"办公族"喜欢到网上下载各种Word.Excel.PPT模板来简化自己的工作,但需要警惕的是,这类模板有些会携带"Office宏病毒",一旦感染,电脑 ...

  5. office漏洞利用--获取shell

    环境: kali系统, windows系统 流程: 在kali系统生成利用文件, kali系统下监听本地端口, windows系统打开doc文件,即可中招 第一种利用方式, 适合测试用: 从git下载 ...

  6. office 宏病毒分析

    1.样本信息 在网上下载样本,是一个word的宏病毒 名称 713-288-4192.doc MD5 61F1A99292A199F867B168B76FC8CC74 SHA1 967DA912065 ...

  7. Office 365 利用并行工作流构建威客式任务管理系统之使用SharePoint Designer 定制任务过期提醒!

    我们发布了大量任务,总有任务可能会出现过期状态,我们自己不知道的情况,怎么办呢?其实我们可以设定一个工作流来追踪我们的工作流程,这个工作流程相对来说比较简单,大概只有两步即可完成.目标其实就是将我们的 ...

  8. Office 365 利用并行工作流构建威客式任务管理系统之使用SharePoint Designer 定制威客任务管理流程!

    这里我们必须使用SharePoint Designer 来定制我们的MOSS 工作流,我们首先打开Designer,然后我们填写我们的网站的WEB地址: 接下来我们来找到对应的列表建立工作流,我们一共 ...

  9. 利用cobaltstrike加sqlmap拿下一个网站并提权

    利用cobaltstrike加sqlmap拿下一个网站并提权 Cobalt Strike是一款基于java的渗透测试神器,常被业界人称为CS神器.自3.0以后已经不在使用Metasploit框架而作为 ...

最新文章

  1. matlab中simple是什么函数,[求助]Matlab2016b里没有simple函数
  2. Scrapy爬虫(8)scrapy-splash的入门
  3. ui automator viewer 怎么获取界面名_ui交互设计怎么样
  4. 【Python3爬虫】大众点评爬虫(搞定CSS反爬)
  5. Go程序:变量声明、赋值与输出
  6. 元素“Button”不是已知元素。原因可能是网站中存在编译错误,或者缺少web.config文件...
  7. python端口与c的区别_Python和C区别该如何理解?如何适应这种区别?
  8. 基于深度学习的番茄叶部病害识别模型
  9. python编程例子-python编程例子
  10. Android Spinner(下拉菜单)常用属性与点击事件获取值
  11. Caffe各版本与源码全透析
  12. 摄氏度和开氏度的换算_摄氏度、华氏度和开氏度有何区别?
  13. MATLAB | 迟到的圣诞树绘制
  14. 苹果7pnfc功能门禁卡_苹果手机门禁卡nfc功能
  15. Seo:入门须知(三)网页快照投诉
  16. POJ 1581 A Contesting Decision
  17. 深圳mba学费一览表
  18. 呆萌却实际可怕的动物:蛇鹫会踢腿 大熊猫攻击凶猛
  19. 照片去雾怎么操作?学会这招就不用担心雾化了
  20. 使用IO完善快递管理系统

热门文章

  1. Linux中如何使用Wireshark来分析数据包?
  2. 模拟UNIX文件系统的设计及实现操作系统大作业(含源文件)
  3. 更加智能地管理SD-WAN最后一英里-ielab
  4. 专访北邮教授孙松林:5G尚处第一阶段 中国定会独领风骚
  5. GRBL v1.1版本命令说明
  6. 测量学(四)测量点制图转CAD格式之注记转换
  7. office表格中图表导出pdf
  8. C4D制作lowpoly风格物体
  9. hp计算机主机报警 声,电脑开机报警响5声什么原因_电脑开机出现五声报警声如何解决-win7之家...
  10. 一文步入python大门,基础教程大全(25分钟)