原理
将直接加载远程带有宏的恶意模版使用。

缺点
目标主机的网速决定了加载远程模版的速度。有可能文件打开的会特别慢(例如将远程模版放在github),受害者可能在文件打开一半的时候强制关闭word。
优点
因为是远程加载,所以免杀效果还行。基本不会被杀毒软件拦截。

实现
第一步:制作一个恶意的模版并确保能够上线
这里以cs的宏木马为例。

34260-6ak5bjlu6qp.png

点击Visual basic,将恶意代码复制到project的指定地点如下图所示

56173-r3bx9nhk2u.png

然后关闭代码框,将这个word文件另存为一个dotm模版文件

02330-uxgjf1woh0f.png

这时候可以先测试一下模版能否上线,操作为在模版文件上右键,双击是无法打开模版文件的,在模版文件上双击默认是以此模版创建新文件,切记。
点击启用内容即可上线。

89874-jhc2380vip.png

01022-culv4oe4o5.png

测试完成。

第二步:制作远程加载恶意宏模版的docx文件
1.将恶意文件上传到服务器
首先将刚才已经制作好的含有恶意代码的模版文件上传到服务器上,这里采用github来做这个实验,点击下图中上传的恶意文件。

46275-7mb6ylynp9n.png

会进入下图这个页面

02646-oezvbmp3sqr.png

复制这个页面的url

46697-t6joq0nilmn.png

并在url后面加上?raw=true,最终结果如下,把这行保存下来等下会用到。

https://github.com/redteamkevin/test/blob/main/test.dotm?raw=true

2.加载服务器上的恶意文件
打开word找一个任意的模版双击使用,然后什么都不用改直接保存在桌面下。

60455-1o2wbs80xiag.png

76440-c5lwf9kss0w.png

将文件改名,改为zip结尾。

74564-1euqcmkxt07i.png

将其解压缩

50538-2b4anuzk2o4.png

进入word文件夹中的_rels,找到settings.xml.rels文件

28155-88s4jefxqpj.png

编辑这个文件,将其的target属性的值改为我们上面的那个url,也就是
https://github.com/redteamkevin/test/blob/main/test.dotm?raw=true,然后保存退出。

52871-frm9sh3p0um.png

接下来将刚才解压生成的文件压缩回去,并且改名为后缀名为docx的文件。

86805-v3tsej1ogo.png

46857-ygcfuae5u3g.png

结果
直接双击test2.docx文件

31853-vc40hjvozl.png

打开后会是这个样子我们不用管他,点击确定就好,然后点击启用内容。

69529-lj53fmb8v6a.png

发现木马上线

77218-m5j8h7e99d9.png

然后把这个文件扔到vitrual total上查杀病毒,发现只有两家公司的杀毒软件认为其是病毒
但是在实际运行中发现动态还是遭到卡巴斯基的查杀 宏文件调用rundll32还是太明显了 到后面再改进吧 这里仅作为一个思路
至此实验结束。

总结
众所周知,docx文件无法执行宏代码,所以发送docx文件的时候对方容易放松警惕,从而提高进攻的成功率。

参考文献:https://shanfenglan.blog.csdn.net/article/details/108321766


本文由 wulaoban 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。

还不快抢沙发

添加新评论