打开这个文档,你就被控制

前言:

对于攻击者或渗透测试者来说,最大的挑战是绕过一个目标的安全控制。

想要攻击目标网络中的系统往往很困难,通常要绕过防火墙,代理服务器,入侵检测系统等等防护体系。

一个最好的解决思路就是:将客户端作为攻击目标,与网络中的客户端进行交互,客户端防护相对薄弱。借助客户端访问目标系统的便利性、通过社会工程的方法,一旦攻击成功并且建立了稳定的通信,攻击者便能连接到目标网络。事实证明这种类型的攻击是绕过网络安全控制最有效的方法之一。

通过本文你将学到——客户端攻击技术—宏攻击

VBScript宏攻击

VBScript是一个微软开发的脚本语言。它目前已经集成在了Windows中,最典型的就是Office,因此,它成为了客户端攻击首选语言。

下面我们将用到Msfvnom命令行为

执行后我们收到了payload,该payload分为两部分

第一部分是宏代码

第二部分是shellcode代码

接下来,我们新建一个WORD/PPT/EXCEL

打开工具-视图-宏

创建一个名为test的宏,再将宏代码拷贝到Sub test()到End Sub区间

最后将shellcode代码拷贝至文档主体

为了使攻击成为可能,最后通过改变字体颜色,加入适当内容等等以混淆隐藏shellcode

最后我们将在Metasoloit中设置一个监听会话

[email protected]:~# msfconsole

use exploit/muti/hander

exploit

将文件发送给目标,一旦打开,就会在攻击者控制台生成一个反向Shell

目标上的Windows上没有任何感知

最重要的是它会在你打开所有文档中运行,而且无需启用宏。之所以会如此,因为它已经在所有文档中生效,它将生成一个后门在C盘用户临时文件中,关掉文档也无济于事,因为它已经运行。

宏当前的设置情况

分析

通过木马查杀,效果感人。大部分杀毒引擎都无法检测到。因此它具有很强的免杀能力

通过查看本地资源监视器,我们可以找到一个通讯进程,指向的则是刚才设置的主机IP和8080端口

根据pid查找文件路径的命令

wmic process get name,executablepath,processid|findstr 5256找到文件在C盘USERS下

宏病毒清理

在生成宏的位置删除宏,找到文件删除该后门文件即可

You may also like...