0x00 前言

这是 Cobalt Strike 学习笔记的最后一节，这节将来学习白名单申请与宏渗透的一些方法。

0x01 白名单申请

Win + R 打开运行窗口，输入 gpedit.msc ，来到 用户配置 -> 管理模板 -> 系统 处，打开 只允许指定的 Windows 程序

在打开的窗口中，勾选已启用，之后点击显示按钮，在其中写入白名单的程序名称后，点击两次确定之后即可。

image

0x02 建立宏攻击

在 Cobalt Strike 客户端上，选择 Packages --> MS Office Macro，指定一个监听器，点击 Generate，之后根据提示的步骤生成一个 Word 文档。

image

大体的步骤如下：

1、打开 Microsoft Word 或者 Excel

2、来到 视图 --> 宏

3、任意填写一个宏的名称

4、宏的位置选择为当前文档

5、点击创建

image

6、在打开的编辑器中，删除掉原来的内容

7、点击 Cobalt Strike 上的 Copy Macro 按钮

8、将刚复制 Cobalt Strike 生成的内容粘贴到打开的编辑器中

image

9、关闭编辑器

10、将文档保存为启用宏的文档，这里可以选择保存为 启用宏的 Word 文档 或者 Word 97-2003 文档

image

接下来使用钓鱼邮件等方式上传到靶机，当靶机运行该文档后启用宏内容即可上线。

image image

这里不得不吐槽一句，Microsoft Office 的东西安装是真的麻烦。

在上面 2-8 步骤创建编辑宏内容的过程，也可以打开 开发工具 --> Visual Basic 界面，这里推荐使用快捷键Alt+F11打开该界面。

之后编辑ThisDocument 模块，粘贴宏代码也可以达到上述 2-8 步的效果。

image

0x03 总结

自 4 月 19 日发布 Cobalt Strike 第一节笔记开始，已经过去了半年的时间，踩过了无数坑，解决了无数的坑。

感谢 Cobalt Strike 的作者 Raphael Mudge 的课程，感谢 UP Hack 学习呀 上传的中文翻译版本，感谢 A-Team 团队的 Cobalt Strike 4.0 中文翻译手册，感谢每篇笔记最后参考链接的作者们，感谢曾经帮助我解决所碰到问题的大佬们，谢谢你们。

最后，还有一点要注意的就是， CS学习笔记系列只是我个人在学习 Cobalt Strike 的过程中所做的笔记，建议不要当做教程看，因为其中我本身已经知道的知识点和感觉不重要知识点我是没有记录的。

将自己的笔记公开发出来的目的有二：一是便于自己遗忘时随时查找，这也是17年我建立这个公众号的主要目的；二是在笔记中我会记录一些坑的解决方法，如果你碰到和我一样的问题，或许我这小菜鸟写的笔记就能帮助到你。

原文链接：https://www.teamssix.com/year/200419-150740.html
参考链接：https://www.bilibili.com/video/BV16b411i7n5