CS钓鱼文件获取shell-word宏病毒

该博客仅用于学习知识，请勿用来做非法操纵
一、实行原理

        宏病毒是一种寄存在文档或模板的宏中的计算机病毒，一旦打开中毒的文档，此中的宏就会被执行，于是宏病毒会 被激活，转移到计算机上，并驻留在 Normal 模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且 若其他用户打开了感染病毒的文档，宏病毒又会被转移到其他计算机上。
二、实行的情况

tool: cobalt strike4.4

		IP地点
cs服务器端	kali	192.168.1.3
cs客户端	win7	192.168.1.1
目标主机	win7	192.168.1.2

三、实行步调

3.1 打开kali终端，开启CS监听服务

1. ./teamserver 192.168.1.3  123456
2.            <ip address> <password>

复制代码

3.2在Windows中双击cobaltstrike.bat打开软件，进行毗连。

3.3毗连成功后，在CS 内开启监听。单击菜单栏中【Cobalt Strike】——>【Listeners监听器】选项。

3.4生成 payload。单击菜单栏中【Attacks攻击】——>【Packages生成后门】——>【MS Office Macro】选项， 利用 Cobalt Strike 生 成“宏代码”。

3.5出现 MS Office Macro 对话框，直接单击 Generate 按钮，Copy Macro 按钮复制生成的代码。

3.6右击桌面空白处，在快捷菜单中选择【新建(W)】——>【Microsoft Word 文档】，创建一个名为 test的 word 文档，并打开。

3.7单击菜单栏中【视图】——>【宏】 ——>【查察宏】选项。出现【宏】对话框，输入【宏名(M)】test ，【宏的位置(A)】选择为【test.docx(文 档)】，再单击【创建】按钮创建宏。

3.8将刚刚在cs中copy的代码粘贴，(*注意，内里原本的代码要删撤消)

3.9单击菜单栏左上角【文件(F)】——>【保存 Test(S)】选项。弹出对话框，单击【否(N)】按钮。将文件另存为启用宏的 test.docm 文件。文件保存至桌面，图标与 word 差异的地方在
于多了一个感叹号.

3.10钓鱼文档制作完毕，诱骗目标主机下载并执行钓鱼文件。进入下令窗口，执行下令 cd Desktop，将目录切换至钓鱼文件所在目录。再 执行下令 python -m SimpleHTTPServer 8080，利用 Python 开启一个简单的 web 服务。

1. python -m SimpleHTTPServer 8080
2.       ##开启一个简单的http服务器，可以用来传输文件

复制代码

3.11打开欣赏器访问 192.168.1.1:8080，单击 test.docm，在弹出的【正在打开 test.docm】对 话框中单击【确定】按钮，直接打开文件.

3.12打开文件后单击上方的【启用编辑(E)】按钮，然后再单击【启用内容】按钮.

3.13返回cs客户端win7，可以看到 Cobalt Strike 页面显示 192.168.1.2 的会话上线。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。