本篇文章為大家展示了Office宏的基本利用是怎樣的，內(nèi)容簡(jiǎn)明扼要并且容易理解，絕對(duì)能使你眼前一亮，通過這篇文章的詳細(xì)介紹希望你能有所收獲。

創(chuàng)新互聯(lián)公司是一家專業(yè)提供高青企業(yè)網(wǎng)站建設(shè),專注與網(wǎng)站制作、做網(wǎng)站、成都h5網(wǎng)站建設(shè)、小程序制作等業(yè)務(wù)。10年已為高青眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)的建站公司優(yōu)惠進(jìn)行中。

前言

Office宏，譯自英文單詞Macro。宏是Office自帶的一種高級(jí)腳本特性，通過VBA代碼，可以在Office中去完成某項(xiàng)特定的任務(wù)，而不必再重復(fù)相同的動(dòng)作，目的是讓用戶文檔中的一些任務(wù)自動(dòng)化。而宏病毒是一種寄存在文檔或模板的宏中的計(jì)算機(jī)病毒。一旦打開這樣的文檔，其中的宏就會(huì)被執(zhí)行，于是宏病毒就會(huì)被激活，轉(zhuǎn)移到計(jì)算機(jī)上，并駐留在Normal模板上。

Visual Basic for Applications（VBA）是Visual Basic的一種宏語言，是微軟開發(fā)出來在其桌面應(yīng)用程序中執(zhí)行通用的自動(dòng)化(OLE)任務(wù)的編程語言。主要能用來擴(kuò)展Windows的應(yīng)用程序功能，特別是Microsoft Office軟件，也可說是一種應(yīng)用程式視覺化的Basic 腳本。

環(huán)境準(zhǔn)備

• Windows 7 x64 旗艦版

• Microsoft Office 2016

• CobaltStrike 3.14

CobaltStrike生成宏

先利用CobaltStrike生成宏payload，接下來只要放入word、excel或ppt即可。

創(chuàng)建宏Word

打開Word文檔，點(diǎn)擊 “Word 選項(xiàng) — 自定義功能區(qū) — 開發(fā)者工具(勾選) — 確定” 。

編寫主體內(nèi)容后，點(diǎn)擊 “開發(fā)工具 — Visual Basic” 。

雙擊 “ThisDocument” ，將原有內(nèi)容全部清空，然后將CobaltStrike生成宏payload全部粘貼進(jìn)去，保存并關(guān)閉該 VBA 編輯器 。

另存為的Word類型務(wù)必要選”Word 97-2003 文檔 (*.doc)”，即 doc 文件，保證低版本可以打開。之后關(guān)閉，再打開即可執(zhí)行宏代碼。

反彈Beacon shell

默認(rèn)情況下，Office已經(jīng)禁用所有宏，但仍會(huì)在打開Word文檔的時(shí)候發(fā)出通知。

誘導(dǎo)目標(biāo)手動(dòng)點(diǎn)擊”啟用內(nèi)容”宏。

目標(biāo)一旦啟用，CobaltStrike的Beacon就會(huì)上線，即成功接收到Shell。

宏代碼分析

CobaltStrike生成默認(rèn)的VBA會(huì)導(dǎo)入四個(gè)Windows API函數(shù)，常見的ShellCode加載器代碼：

• CreateRemoteThread 創(chuàng)建一個(gè)在其它進(jìn)程地址空間中運(yùn)行的線程(也稱:創(chuàng)建遠(yuǎn)程線程).

• VirtualAllocEx 指定進(jìn)程的虛擬空間保留或提交內(nèi)存區(qū)域

• WriteProcessMemory 寫入某一進(jìn)程的內(nèi)存區(qū)域

• CreateProcess 創(chuàng)建一個(gè)新的進(jìn)程和它的主線程，這個(gè)新進(jìn)程運(yùn)行指定的可執(zhí)行文件

其中Array(-4,-24,-119,0,0,0,96,-119,-27...就是ShellCode，混淆的辦法有很多種。

ShellCode可以自己在VBA里解碼或者比如每個(gè)元素自增1，運(yùn)行的時(shí)候-1，達(dá)到免殺 ……

上述內(nèi)容就是Office宏的基本利用是怎樣的，你們學(xué)到知識(shí)或技能了嗎？如果還想學(xué)到更多技能或者豐富自己的知識(shí)儲(chǔ)備，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

網(wǎng)頁標(biāo)題：Office宏的基本利用是怎樣的
網(wǎng)站網(wǎng)址：http://aaarwkj.com/article38/igcjpp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供用戶體驗(yàn)、網(wǎng)站收錄、ChatGPT、標(biāo)簽優(yōu)化、網(wǎng)站策劃、靜態(tài)網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)