CS钓鱼文件获取shell-word宏病毒
该博客仅用于学习知识,请勿用来做非法操纵一、实行原理
宏病毒是一种寄存在文档或模板的宏中的计算机病毒,一旦打开中毒的文档,此中的宏就会被执行,于是宏病毒会 被激活,转移到计算机上,并驻留在 Normal 模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且 若其他用户打开了感染病毒的文档,宏病毒又会被转移到其他计算机上。
二、实行的情况
tool: cobalt strike4.4
IP地点cs服务器端kali192.168.1.3cs客户端win7192.168.1.1目标主机win7192.168.1.2 三、实行步调
3.1 打开kali终端,开启CS监听服务
./teamserver 192.168.1.3123456
<ip address> <password> https://i-blog.csdnimg.cn/direct/bebc100ada314e5ab686f43d15893cc0.png
3.2在Windows中双击cobaltstrike.bat打开软件,进行毗连。
https://i-blog.csdnimg.cn/direct/d33a435525744b58bc15e52f3fb45add.png
https://i-blog.csdnimg.cn/direct/ade8a4763c4a4edca457b996a995bb0c.png
3.3毗连成功后,在CS 内开启监听。单击菜单栏中【Cobalt Strike】——>【Listeners监听器】选项。
https://i-blog.csdnimg.cn/direct/42d3f0a2c78a4119938f09d8bc911f8d.png
https://i-blog.csdnimg.cn/direct/ddc36f1f1fff4b62970e2af4939006b6.png
https://i-blog.csdnimg.cn/direct/4353b8e118b54802b123436ca94af97a.png
https://i-blog.csdnimg.cn/direct/3bbb7832b0c9442fbaaec6b590517c83.png
3.4生成 payload。单击菜单栏中【Attacks攻击】——>【Packages生成后门】——>【MS Office Macro】选项, 利用 Cobalt Strike 生 成“宏代码”。
https://i-blog.csdnimg.cn/direct/15ec4e78150a463f899832521a4e7e1d.png
3.5出现 MS Office Macro 对话框,直接单击 Generate 按钮,Copy Macro 按钮复制生成的代码。
https://i-blog.csdnimg.cn/direct/b5fe78aa30fb4b1a8b9b8f22b8574524.png
https://i-blog.csdnimg.cn/direct/0f80a07b34b84138b1e61fe9e3e3fe93.png
https://i-blog.csdnimg.cn/direct/79c9bad17f2b49ce96efacaba684aaab.png
3.6右击桌面空白处,在快捷菜单中选择【新建(W)】——>【Microsoft Word 文档】,创建一个名为 test的 word 文档,并打开。
https://i-blog.csdnimg.cn/direct/42e83b5a11c0461ab0145c8ab042d8d9.png
3.7单击菜单栏中【视图】——>【宏】 ——>【查察宏】选项。出现【宏】对话框,输入【宏名(M)】test ,【宏的位置(A)】选择为【test.docx(文 档)】,再单击【创建】按钮创建宏。
https://i-blog.csdnimg.cn/direct/35a86527f2bf49b09f639313cb52e9bb.png
https://i-blog.csdnimg.cn/direct/bf930459c5724e6bb4c84f2944d85ba9.png
3.8将刚刚在cs中copy的代码粘贴,(*注意,内里原本的代码要删撤消)
https://i-blog.csdnimg.cn/direct/04fcbb22d2cc4b708f4a863f8fb439a3.png
3.9单击菜单栏左上角【文件(F)】——>【保存 Test(S)】选项。弹出对话框,单击【否(N)】按钮。将文件另存为启用宏的 test.docm 文件。文件保存至桌面,图标与 word 差异的地方在
于多了一个感叹号.
https://i-blog.csdnimg.cn/direct/a740680999d24abc832a253f09d64db0.png
https://i-blog.csdnimg.cn/direct/4fb743a1147148c481c88b86e0cadad4.png
https://i-blog.csdnimg.cn/direct/a48bbdf5f22443279efde90042ffc313.png
https://i-blog.csdnimg.cn/direct/a380a53b2f1c4fa392c8389fcf2b284f.png
3.10钓鱼文档制作完毕,诱骗目标主机下载并执行钓鱼文件。进入下令窗口,执行下令 cd Desktop,将目录切换至钓鱼文件所在目录。再 执行下令 python -m SimpleHTTPServer 8080,利用 Python 开启一个简单的 web 服务。
python -m SimpleHTTPServer 8080
##开启一个简单的http服务器,可以用来传输文件 https://i-blog.csdnimg.cn/direct/c8a5ff6186ad4cf6aadad4108462c69b.png
3.11打开欣赏器访问 192.168.1.1:8080,单击 test.docm,在弹出的【正在打开 test.docm】对 话框中单击【确定】按钮,直接打开文件.
https://i-blog.csdnimg.cn/direct/4f19e347e26f4d5f90447689ff0d1435.png
3.12打开文件后单击上方的【启用编辑(E)】按钮,然后再单击【启用内容】按钮.
https://i-blog.csdnimg.cn/direct/46be91e33ee340919f5869804829845f.png
https://i-blog.csdnimg.cn/direct/c91f272960c445018b8bfc38e3f2cfcf.png
3.13返回cs客户端win7,可以看到 Cobalt Strike 页面显示 192.168.1.2 的会话上线。
https://i-blog.csdnimg.cn/direct/d89e024af17f43b0938174170b58d4bc.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]