资讯

精准传达 • 有效沟通

从品牌网站建设到网络营销策划,从策略到执行的一站式服务

Office宏的基本利用是怎样的

本篇文章为大家展示了Office宏的基本利用是怎样的,内容简明扼要并且容易理解,绝对能使你眼前一亮,通过这篇文章的详细介绍希望你能有所收获。

创新互联公司是一家专业提供高青企业网站建设,专注与网站制作、做网站、成都h5网站建设、小程序制作等业务。10年已为高青众多企业、政府机构等服务。创新互联专业的建站公司优惠进行中。

前言

Office宏,译自英文单词Macro。宏是Office自带的一种高级脚本特性,通过VBA代码,可以在Office中去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中的一些任务自动化。而宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。

Visual Basic for Applications(VBA)是Visual Basic的一种宏语言,是微软开发出来在其桌面应用程序中执行通用的自动化(OLE)任务的编程语言。主要能用来扩展Windows的应用程序功能,特别是Microsoft Office软件,也可说是一种应用程式视觉化的Basic 脚本。

环境准备

  • Windows 7 x64 旗舰版

  • Microsoft Office 2016

  • CobaltStrike 3.14

CobaltStrike生成宏

先利用CobaltStrike生成宏payload,接下来只要放入word、excel或ppt即可。

Office宏的基本利用是怎样的

创建宏Word

打开Word文档,点击 “Word 选项 — 自定义功能区 — 开发者工具(勾选) — 确定” 。

Office宏的基本利用是怎样的

编写主体内容后,点击 “开发工具 — Visual Basic” 。

Office宏的基本利用是怎样的

双击 “ThisDocument” ,将原有内容全部清空,然后将CobaltStrike生成宏payload全部粘贴进去,保存并关闭该 VBA 编辑器 。

Office宏的基本利用是怎样的

另存为的Word类型务必要选”Word 97-2003 文档 (*.doc)”,即 doc 文件,保证低版本可以打开。之后关闭,再打开即可执行宏代码。

Office宏的基本利用是怎样的

反弹Beacon shell

默认情况下,Office已经禁用所有宏,但仍会在打开Word文档的时候发出通知。

Office宏的基本利用是怎样的

诱导目标手动点击”启用内容”宏。

Office宏的基本利用是怎样的

目标一旦启用,CobaltStrike的Beacon就会上线,即成功接收到Shell。

Office宏的基本利用是怎样的

宏代码分析

CobaltStrike生成默认的VBA会导入四个Windows API函数,常见的ShellCode加载器代码:

Office宏的基本利用是怎样的

  • CreateRemoteThread 创建一个在其它进程地址空间中运行的线程(也称:创建远程线程).

  • VirtualAllocEx 指定进程的虚拟空间保留或提交内存区域

  • WriteProcessMemory 写入某一进程的内存区域

  • CreateProcess 创建一个新的进程和它的主线程,这个新进程运行指定的可执行文件

其中Array(-4,-24,-119,0,0,0,96,-119,-27...就是ShellCode,混淆的办法有很多种。

ShellCode可以自己在VBA里解码或者比如每个元素自增1,运行的时候-1,达到免杀 ……

上述内容就是Office宏的基本利用是怎样的,你们学到知识或技能了吗?如果还想学到更多技能或者丰富自己的知识储备,欢迎关注创新互联行业资讯频道。


标题名称:Office宏的基本利用是怎样的
分享网址:http://cdkjz.cn/article/igcjpp.html
多年建站经验

多一份参考,总有益处

联系快上网,免费获得专属《策划方案》及报价

咨询相关问题或预约面谈,可以通过以下方式与我们联系

大客户专线   成都:13518219792   座机:028-86922220