cobal strike 钓鱼----word宏木马(免杀)

声明:该实验贴,仅用于学习知识,请勿用来做非法操作,净化网络环境,从自身做起

富强民主文明和谐 自由平等公正法治 爱国敬业诚信友善

今天使用cobal strike做一个牛逼的钓鱼操作,实验失败的同学多做几次,该实验受于网络以及各种不确定因素
一看就会,一做就废,我做了多次才成功做到免杀且成功shell。

 

首先 使用cobal strike 生成木马

 

 

 

点击添加一个监听端口/*请注意如果端口在防火墙上策略有误,则会导致反弹失败*/

 

 

名字自取,payload默认,主机为cobal strike服务端ip,端口为监听端口

 

 

点击确定,然后点击Generate

 

 

 


 

 

 

 

然后点击Copy Macro,复制木马
 

 

 

 

 

新建一个word
这里我们可以选择给文档名称设置为有诱惑力的名字,引诱他人来点击
比如:xx公司年终奖,xx大学录取名单
 
将复制的木马植入进word宏当中
视图>宏>查看宏>创建宏/*名称随意*/

 

 

将内容全部清除,再将copy内容复制进宏中,保存退出
 
 
 

 

保存后,将word文档另存为‘启用宏的模板’

 

 

运行文件,发现目标系统已经上线

 

 

 

下一步,对宏木马进行处置,使其绕过杀软的查杀
利用远程模板的方式,实现这一目标
导航窗格空白处右键,选中自定义功能区
勾选开发工具

 

 

开发工具>Visual basic

 

将代码复制到thisdocumet中,并且删除原文件的代码

 

 

保存文件,将文档另存为‘启用宏的word模板’

 

 

 

然后在把该文档上传至github上(可以使用其他方法,能保证可以正常访问的一个链接即可)
然后把文件url复制,并且url后面加上?raw=true 保存备用

 

 

新建一个word,随便双击一个模板打开,不做任何操作,直接保存在任意路径

 

 

然后将该文档的后缀名改为.zip并且解压

 

 

打开 word/_rels/settings.xml.rels/*记事本*/
将target的参数修改为我们之前保存好的url,保存退出
然后将文件压缩,并且将压缩好的文件后缀名改回.docx

 

再次打开处理好的docs文件,发现成功上线

 

 

成功绕过火绒

 

此方法可以绕过市面95%的杀软,还有5%留给我那没见过世面的自尊

 

 

 

 

 

 

 

 

 

 

 

 

posted @ 2020-11-20 09:57  江楠O_O  阅读(3870)  评论(2编辑  收藏  举报