黑帽SEO
免费发布泛目录 蜘蛛池 黑帽SEO工具

office宏漏洞实战

  office宏,译自英文单词Macro。宏是微软公司为其office软件包设计的一个特殊功能,软件设计者为了让人们在使用软件进行工作时,避免一再地重复相同的动作而设计出来的一种工具,它利用简单的语法,把常用的动作写成宏,当在工作时,就可以直接利用事先编好的宏自动运行,去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中的一些任务自动化。

  Visual Basic for Applications(VBA)是Visual

  Basic的一种宏语言,是微软开发出来在其桌面应用程序中执行通用的自动化(OLE)任务的编程语言。主要能用来扩展Windows的应用程序功能,特别是Microsoft

  Office软件。也可说是一种应用程式视觉化的Basic

  脚本。该语言于1993年由微软公司开发的的应用程序共享一种通用的自动化语言-Visual Basic for

  Application(VBA),实际上VBA是寄生于VB应用程序的版本。

  使用msf就可以生成宏代码,接下来只要放入word或者excel、ppt即可。

  新建一个文档,另存为“启用宏的Word文档”:

  2019-05-15-14-00-36

  视图-查看宏:

  2019-05-15-14-02-48

  随便输入一个宏名称,点击“创建”:

  2019-05-15-14-03-34

  此时进入宏编辑器:

  2019-05-15-14-04-57

  将msf生成的payload放入:

  2019-05-15-14-05-45office宏漏洞实战

  保存文件,关闭,再打开即可执行宏代码。

  msf生成默认的vba会导入三个api函数,常见的shellcode加载器代码:

  2019-05-15-14-07-11

  CreateThread 创建线程

  VirtualAlloc 申请虚拟内存空间

  RtlMoveMemory 拷贝内存

  其中就是shellcode,混淆的办法有很多种。

  shellcode可以自己在VBA里解码或者比如每个元素自增1,运行的时候-1,达到免杀…

  在线地址:https://www.bilibili.com/video/av52532639/

  如果创建的是全局宏,Office会在这个目录生成一个dotm文档:

  2019-05-15-14-53-42

  全局宏是对于当前计算机所有文档对象有效,即文档本身不包含宏代码,也可以运行全局宏。

  2019-05-15-14-54-49

  很遗憾,全局宏没有一个固定的名称,也就是说要先通过Office创建一个全局宏,然后其他文档打开时才可以执行代码。

  2019-05-15-15-52-06

  经过测试,这个全局宏中的文件:是包含了特征的文件,但是反病毒软件不会扫描这个文件,除非主动查杀。

  这个特性可能可以达到维持权限的作用。

  后来才发现我使用的还是全局宏达到的免杀

  HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\PowerPoint\Security\Trusted Locations

  同过PorcessMonitor分析,从注册表找到几个授信目录:

  %APPDATA%\Microsoft\Templates

  C:\Program Files\Microsoft Office\Root\Templates\

  %APPDATA%\Microsoft\Addins

  C:\Program Files\Microsoft Office\Root\Document Themes 16\

未经允许不得转载:黑帽SEO-实战SEO技术培训、泛目录站群、蜘蛛池、流量技术教程 » office宏漏洞实战
分享到: 更多 (0)

黑帽SEO-实战SEO技术培训、泛目录站群、蜘蛛池、流量技术教程

不做韭菜坚决不做韭菜