OFFICE

Office安全保護機制

受保護的視圖

為了保護計算機不受office病毒侵害，微軟設計了一個收保護視圖琳猫，將所有可疑的office文件以只讀方式打開伟叛，在該模式下多數(shù)編輯功能被禁用。文件唄以受保護視圖打開的情況有如下幾種

【查看資料】

XLM / Macro 4.0 （excel宏釣魚）

excel下有宏功能脐嫂，可以用來執(zhí)行命令统刮。

其使用方法如下

右鍵下方sheet1，選擇插入

點擊 MS Excel4.0宏表账千，就可在excel中插入一個宏表

依次輸入這兩個命令侥蒙，并把第一行設置為Auto_Open

隨后保存為xlsm文件即可。隨后當該文件被打開時蕊爵，會自動打開cmd窗口

這里的exec其實是執(zhí)行的cmd命令辉哥，我們可以借此來上線cs等操作桦山。

真不錯攒射。但在某些情況下打開此類excel文件需手動點擊啟用宏才能正常釣魚。

Word宏

新建一個word文件恒水，進入宏選項（如果沒有請自行在開發(fā)者工具里開啟

然后隨便輸AutoOpen(文件打開時自動執(zhí)行宏)会放，創(chuàng)建，注意宏的位置要指定為當前文檔

然后進入宏編輯框

輸入以下命令

SubAutoOpen()Shell("calc")//只需要寫這個就行了EndSub

AutoExec：啟動 Word 或加載全局模板時

AutoNew：每次新建文檔時

AutoOpen：每次打開已有文檔時

AutoClose：每次關(guān)閉文檔時

AutoExit：退出 Word 或卸載全局模板時

保存為docm（啟用宏的word文檔）

打開文件钉凌，就蹦出計算器了咧最。（前提是在信任中心設置開啟所有宏）

當然，一般情況下打開此類文件會顯示

啟用內(nèi)容后就會彈計算器了

Word DDE

在word文件里御雕，輸入 ctrl+F9,進入到域代碼編輯矢沿。我們可以鍵入以下代碼使文件在被打開時執(zhí)行系統(tǒng)命令（word2019復現(xiàn)未成功，word2016成功酸纲，似乎是word版本問題

這個蠻實用的捣鲸，目前眾多word是默認禁用宏的，dde只需要用戶點擊兩個按鈕即可執(zhí)行闽坡，實用性比宏好

隨后在打開該文件時會出現(xiàn)兩個對話框栽惶，全點是就會執(zhí)行以上命令了

office OLE+LNK

核心目標是創(chuàng)建一個內(nèi)嵌的lnk文件誘導用戶點擊，從而執(zhí)行命令疾嗅。word外厂，excel都能使用

我們創(chuàng)建一個快捷方式如下

其目標處填寫的是

然后打開word文件，插入對象代承，選擇package汁蝶，為了更加逼真勾選顯示為圖標，然后可以更改圖標论悴，我們在更改圖標處選擇一個迷惑性比較大的圖標

然后進入創(chuàng)建軟件包界面掖棉，選擇我們剛剛創(chuàng)建的lnk文件席爽，寫好卷標名，然后就把軟件包插入到word界面了啊片，只要用戶點擊該軟件包并選擇執(zhí)行只锻，則會執(zhí)行我們在lnk中定義的代碼

而且值得一提的是，如果用上述方法把lnk文件放入publisher文件紫谷，則在網(wǎng)絡中打開該文件時不會觸發(fā)受保護視圖齐饮。（可能是我本地環(huán)境有點錯？我覺得這個有點離譜

嵌入js元素

這個說實話需要一點js功底笤昨。祖驱。

這個方式的原理是，如果我們往word中插入聯(lián)機視頻瞒窒，那么再word的壓縮包 word/document.xml里的embeddedHtml項中會出現(xiàn)聯(lián)機視頻對應的內(nèi)嵌html代碼捺僻，我們可以通過修改這些代碼，插入惡意js代碼崇裁。

一般的利用方式是通過js下載惡意文件匕坯，但是似乎是因為word的一些保護機制，不能實現(xiàn)頁面跳轉(zhuǎn)或者自動點擊下載等操作(打開word文件會報錯),好迷

我看了一個POC拔稳，里面是通過構(gòu)造二進制數(shù)據(jù)交給BLOB對象處理葛峻，并自動點擊由BLOB對象生成的url實現(xiàn)下載二進制數(shù)據(jù)，而這些二進制數(shù)據(jù)實質(zhì)上是惡意文件巴比。

因為我搞不來那個二進制數(shù)據(jù)怎么產(chǎn)生术奖，所以這個方法暫時只做了解吧。轻绞。

而且我看的那個文章的POC在我的word2016里不能正常工作采记，不知道是什么原因

利用模板文件注入宏指令

原理是，先創(chuàng)建一個帶模板的文檔政勃，再創(chuàng)一個啟用宏的模板文件唧龄。然后在帶模板的文檔的壓縮包里面修改一些內(nèi)容，使其指向的模板修改為我們自己創(chuàng)建的模板文件稼病，這之間的過程可以由smb協(xié)議完成选侨，故過查殺幾率較高。

我們在啟用宏的模板文件（doc3.dotm)里寫入宏然走。

CHM 電子書

新建一個html文件援制，編碼格式ANSI，向里面寫入如下內(nèi)容

用easychm芍瑞，新建-瀏覽-選擇html文件所在目錄-選擇html文件-編譯

生成一個chm晨仑，雙擊，打開了計算器

圖標替換

使用Restorator，打開需要替換圖標的exe洪己，提供圖標的exe妥凳，如下

右鍵main.exe,添加資源，圖標答捕，id選擇127.

隨后右鍵Listary.exe/圖標/127 導出逝钥，將其導出到一個文件夾

然后右鍵main.exe/圖標，導入拱镐，選擇剛剛導出圖標的文件夾艘款，確定,ctrl+保存

RTLO

繼續(xù)重命名，在a后面右鍵沃琅，插入Unicode控制字符->RLO

rar解壓自運行

木馬文件:artifact.exe 迷惑文件:calc.exe

進入winrar哗咆，選中這兩個文件，右鍵添加至壓縮包.創(chuàng)建自解壓格式壓縮文件

高級->自解壓選項->設置

模式->全部隱藏

更新->解壓并更新文件,覆蓋所有文件

生成,雙擊運行

最后

關(guān)注我益眉，持續(xù)更新網(wǎng)絡安全文章晌柬，私我獲取【網(wǎng)絡安全學習資料·攻略】