钓鱼攻击：远程加载恶意Word模版文件上线CS

gclome

原文链接：钓鱼攻击：远程加载恶意Word模版文件上线CS

利用Word文档加载附加模板时的缺陷所发起的恶意请求而达到的攻击目的，所以当目标用户点开攻击者发给他的恶意word文档就可以通过向远程服务器请求恶意模板并执行恶意模板上的恶意代码。

这里，我们借助CobaltStrike生成office宏病毒，在将恶意宏嵌入到Word模板中，诱使受害者远程打开并加载带有宏的恶意Word模版，至目标主机成功上线CobaltStrike。

• 缺点
  目标主机的网速决定了加载远程模版的速度。有可能文件打开的会特别慢(例如将远程模版放在github)，受害者可能在文件打开一半的时候强制关闭word。
  
  

​
如上图正在加载位于github上的恶意模板内容，有点慢，我们可以放在vps上，这样速度就快些了。

• 优点
  因为是远程加载，所以免杀效果十分不错。基本不会被杀毒软件拦截。
  
  

第一步：制作一个恶意的模版并确保能够上线
这里以cs的宏木马为例。
依次点击攻击——>生成后门——>MS Office Macro：
​
然后选择一个监听器，点击Generate：
​
然后点击Copy Macro：
​
此时便将恶意的VB代码获取到了剪切板中。
然后打开word编辑器，在工具栏的空白区域右键，点击自定义功能区：
​
勾选开发工具选项：
​
此时就会出现开发工具这一栏，并点击开发工具中的“Visual basic”：
​
将恶意代码复制到project的指定地点如下图所示：
​
然后关闭代码框，将这个word文件另存为一个启用宏的word模版文件(*.dotm)：
​
​
这时候可以先测试一下模版能否上线，操作为在模版文件上右键打开，双击是无法打开模版文件的，在模版文件上双击默认是以此模版创建新文件，切记。
右键打开后，CS成功上线：
​
测试完成。
第二步：制作远程加载恶意宏模版的docx文件
1.将恶意文件上传到服务器
首先将刚才已经制作好的含有恶意代码的模版文件上传到服务器上，这里采用github来做这个实验，如下图将恶意模板恶意文件上传到github。
​
点击上图中上传的恶意文件，会进入下图这个页面：
​
复制这个页面的url：
​
并在url后面加上?raw=true，最终结果如下，把这行保存下来等下会用到。

1. https://github.com/MrAnonymous-1/test/blob/master/Doc1.dotm?raw=true
   
2. 
   

复制代码

2.加载服务器上的恶意文件


打开word找一个任意的模版双击使用，然后什么都不用改直接保存在任意路径下。
​
​
将文件改名，改为zip结尾。
​
将其解压缩：
​
进入word文件夹中的_rels，找到settings.xml.rels文件
​
编辑这个文件，将其的target属性的值改为我们上面的那个url，也就是https://github.com/MrAnonymous-1 ... /Doc1.dotm?raw=true
​
接下来将刚才解压生成的文件压缩回去：
​
并且将生成的压缩文件改名为后缀名为docx的文件。
​
将最终生成的恶意文件——我的简历.docx用邮箱钓鱼、qq或微信文件发送给受害者，当受害者双击打开“我的简历.docx”文件是，恶意代码会执行，目标主机会上线
​
进程名是rundll32.exe。
然后把这个文件扔到virustotal.com上查杀病毒，发现只有两家公司的杀毒软件认为其是病毒：
​
注意：将该恶意文档发给其他人，只要他是用word打开（wps不行），并且开启了宏，我们的CS就会收到弹回来的shell。
word开启或禁用宏：文件——>选项——>信任中心——>信任中心设置
​
​
默认情况下是“禁用所有宏，并发出通知”，这种情况下，当我们打开恶意文件时，会询问你是否“启用内容”：
​
这时，受害者只有点击了“启用内容”后恶意代码才会执行，目标主机才能上线。