|
聲明:本人堅(jiān)決反對(duì)利用文章內(nèi)容進(jìn)行惡意攻擊行為�����,一切錯(cuò)誤行為必將受到懲罰�,綠色網(wǎng)絡(luò)需要靠我們共同維護(hù)�,推薦大家在了解技術(shù)原理的前提下�,更好的維護(hù)個(gè)人信息安全、企業(yè)安全�、國家安全���。 Office宏分離免殺的方式是在目標(biāo)用戶的office開啟宏功能的前提下��,誘騙其使用office辦公軟件打開文檔�,通過加載遠(yuǎn)程的惡意宏代碼�����,達(dá)到控制目標(biāo)主機(jī)權(quán)限的目的����。 1、在桌面基礎(chǔ)創(chuàng)建文檔名稱:beta.docx 
2����、進(jìn)入word文檔后,開啟開發(fā)者工具
3�、打開Cobaltstrike后滲透工具,選擇Attacks->Package->MS Office Macro 
4、選擇生成的Payload���,這里選擇使用Beacon http����,會(huì)連到主機(jī)的IP地址是192.168.146.128 
5�����、 點(diǎn)擊復(fù)制宏代碼
6��、將代碼復(fù)制到word文檔中開發(fā)工具->Visual Basic的代碼窗口中��。右上角選擇Auto_Open�����,當(dāng)使用者在打開word文檔時(shí)���,簿會(huì)自動(dòng)運(yùn)行宏提示信息�。 
7�、Ctrl+S保存后,會(huì)提示�,點(diǎn)擊否,選擇保存類型:beta.dotm
8�����、鼠標(biāo)右鍵單擊beta.dotm文件��,選擇打開�����,(此處注意不能雙擊打開�,雙擊是無法打開模版文件的,在模版文件上雙擊默認(rèn)是以此模版創(chuàng)建新文件)�����,然后可以看到能正常反彈shell�。接下來就可以做免殺處理了。
9����、將后門宏文件beta.dotm上傳到公網(wǎng)服務(wù)器中,開啟apache服務(wù)即可
10、創(chuàng)建一個(gè)簡(jiǎn)歷模板�����,更改后綴位壓縮文件的格式為.zip,并進(jìn)行減壓��。
11���、將zip文件解壓���,進(jìn)入/word/_rels目錄下,打開settings.xml.rels宏文件�����,將該段代碼修改為以下內(nèi)容���,意思就是執(zhí)行開啟宏后���,會(huì)執(zhí)行訪問下載服務(wù)器上的dotm宏文件并執(zhí)行!��!
12���、然后將內(nèi)容重新壓縮后����,在修改zip為docx類型,修改后就可以打開簡(jiǎn)歷了�����。
(1)查詢異常的網(wǎng)絡(luò)連接情況
netstat -ano | findstr '192.168.146.*'
(2)根據(jù)PID找到可執(zhí)行文件名稱
(3)查找16584的命令行
wmic process where processid=16584 get commandline /format:csv
(4)查詢?cè)揚(yáng)ID的父進(jìn)程對(duì)應(yīng)的PID號(hào)
wmic process where processid=16584 get parentprocessid /format:csv
(5) 查找父PID7524的命令行
|
