打开这个文档,你就被控制
前言:
对于攻击者或渗透测试者来说,最大的挑战是绕过一个目标的安全控制。
想要攻击目标网络中的系统往往很困难,通常要绕过防火墙,代理服务器,入侵检测系统等等防护体系。
一个最好的解决思路就是:将客户端作为攻击目标,与网络中的客户端进行交互,客户端防护相对薄弱。借助客户端访问目标系统的便利性、通过社会工程的方法,一旦攻击成功并且建立了稳定的通信,攻击者便能连接到目标网络。事实证明这种类型的攻击是绕过网络安全控制最有效的方法之一。
通过本文你将学到——客户端攻击技术—宏攻击
VBScript宏攻击
VBScript是一个微软开发的脚本语言。它目前已经集成在了Windows中,最典型的就是Office,因此,它成为了客户端攻击首选语言。
下面我们将用到Msfvnom命令行为
执行后我们收到了payload,该payload分为两部分
第一部分是宏代码
第二部分是shellcode代码
接下来,我们新建一个WORD/PPT/EXCEL
打开工具-视图-宏
创建一个名为test的宏,再将宏代码拷贝到Sub test()到End Sub区间
最后将shellcode代码拷贝至文档主体
为了使攻击成为可能,最后通过改变字体颜色,加入适当内容等等以混淆隐藏shellcode
最后我们将在Metasoloit中设置一个监听会话
将文件发送给目标,一旦打开,就会在攻击者控制台生成一个反向Shell
目标上的Windows上没有任何感知
最重要的是它会在你打开所有文档中运行,而且无需启用宏。之所以会如此,因为它已经在所有文档中生效,它将生成一个后门在C盘用户临时文件中,关掉文档也无济于事,因为它已经运行。
宏当前的设置情况
分析
通过木马查杀,效果感人。大部分杀毒引擎都无法检测到。因此它具有很强的免杀能力
通过查看本地资源监视器,我们可以找到一个通讯进程,指向的则是刚才设置的主机IP和8080端口
根据pid查找文件路径的命令
wmic process get name,executablepath,processid|findstr 5256找到文件在C盘USERS下
宏病毒清理
在生成宏的位置删除宏,找到文件删除该后门文件即可