该博客仅用于学习知识,请勿用来做非法操作
一、实验原理
**宏病毒**是一种寄存在文档或模板的宏中的计算机病毒,一旦打开中毒的文档,其中的宏就会被执行,于是宏病毒会 被激活,转移到计算机上,并驻留在 Normal 模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且 若其他用户打开了感染病毒的文档,宏病毒又会被转移到其他计算机上。
二、实验的环境
tool: cobalt strike4.4
IP地址cs服务器端kali192.168.1.3cs客户端win7192.168.1.1目标主机win7192.168.1.2
三、实验步骤
3.1 打开kali终端,开启CS监听服务
./teamserver 192.168.1.3 123456
<ip address> <password>
3.2在Windows中双击cobaltstrike.bat打开软件,进行连接。
3.3连接成功后,在CS 内开启监听。单击菜单栏中【Cobalt Strike】——>【Listeners监听器】选项。
3.4生成 payload。单击菜单栏中【Attacks攻击】——>【Packages生成后门】——>【MS Office Macro】选项, 使用 Cobalt Strike 生 成“宏代码”。
3.5出现 MS Office Macro 对话框,直接单击 Generate 按钮,Copy Macro 按钮复制生成的代码。
3.6右击桌面空白处,在快捷菜单中选择【新建(W)】——>【Microsoft Word 文档】,创建一个名为 test的 word 文档,并打开。
3.7单击菜单栏中【视图】——>【宏】 ——>【查看宏】选项。出现【宏】对话框,输入【宏名(M)】test ,【宏的位置(A)】选择为【test.docx(文 档)】,再单击【创建】按钮创建宏。
3.8将刚刚在cs中copy的代码粘贴,(*注意,里面原本的代码要删除掉)
3.9单击菜单栏左上角【文件(F)】——>【保存 Test(S)】选项。弹出对话框,单击【否(N)】按钮。将文件另存为启用宏的 test.docm 文件。文件保存至桌面,图标与 word 不同的地方在
于多了一个感叹号.
3.10钓鱼文档制作完毕,诱骗目标主机下载并执行钓鱼文件。进入命令窗口,执行命令 cd Desktop,将目录切换至钓鱼文件所在目录。再 执行命令 python -m SimpleHTTPServer 8080,利用 Python 开启一个简单的 web 服务。
python -m SimpleHTTPServer 8080
##开启一个简单的http服务器,可以用来传输文件
3.11打开浏览器访问 192.168.1.1:8080,单击 test.docm,在弹出的【正在打开 test.docm】对 话框中单击【确定】按钮,直接打开文件.
3.12打开文件后单击上方的【启用编辑(E)】按钮,然后再单击【启用内容】按钮.
3.13返回cs客户端win7,可以看到 Cobalt Strike 页面显示 192.168.1.2 的会话上线。
版权归原作者 南唐明亮的虾条 所有, 如有侵权,请联系我们删除。