红队apt--文本宏病毒攻击思路整理

免责声明:本文仅用于了解攻击方手法，用于提高防范意识。禁止用于非法用途

---

前言

欢迎来到我的博客

个人主页:北岭敲键盘的荒漠猫-CSDN博客

本文主要整理文本类病毒攻击思路

宏简介

这个东西可以直接当做编程理解。用于创建模版(简历模版),定制化需求，自动化办公等特殊的需求。

也因为他有编程能力，所以这个地方也可以被我们写入后门。

文档后缀简介

早期的办公文档是启用宏的，那时候管你东西南北，点开就鸡鸡。

现在不行了，现在的办公文档把有没有宏的文档给分开了。

docx - doc &docm

xlsx-xls&xlsm

pptx-ppt&pptm

左边这些带x的是现在的文档格式，这种文本模式是不能使用宏的。

不带x的这些是老版本的office，但是现在我们基本都不是这些版本的了。

带m的这些是现在的带宏的文本。

word宏病毒攻击流程

先把开启cs服务端(这一步真的有必要写吗。。。。)

 打开后在生成载荷的这里生成

他会生成宏代码，需要我们自己复制到文档中。

打开文档，上面会有个开发工具。

如果你的跟上图一样没有开发工具那就点文件

点选项之后把这个勾选上

现在他有了

点宏

宏位置选择只针对当前文本

把代码复制进去

然后保存 ，会出现一个提示

 

 原因就是这个文档是docx，这个类型是不可以使用宏的，所以我们需要改成启用宏的word文档。

点否另保存

下面两个都可以，但是doc需要老版本才能使用。

打开后默认禁用宏，我们还要诱导对方点击开启宏。(看自己的社工能力咯)

点击启用后直接上线

 

社工钓鱼思路

简单提一提吧，看个人能力与实际情况。

word是有很多选项的，比如禁止写入，禁止复制等。

你可以利用这些玩具进行社工

比如简历模版你设定要开启宏才能使用，或者一份资料需要开启宏才能复制之类的。

但是说实话，他这个图标太明显了

看情况吧，这个文档肯定要做的花一点的，或者对方是个完全不懂计算机的小白。

不然谁敢打开这玩意。

宏代码免杀

跟shellcode的那些免杀差不多，混淆一下，改改写法。

说实话这个查杀的比shellcode稍微松点，好歹还能截个图啥的，流量监控没那么恐怖。

我免杀太废了不献丑了。

cve漏洞攻击

office也会爆一些漏洞，可以搜集一下poc。

另外它提示会影响哪些版本，但可能会出现上线不了的情况。

原因就是

他每个版本里面都有很多小版本，可能后来的版本就给修复了。

原文地址：https://blog.csdn.net/2302_79590880/article/details/142716098

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！