cobal strike 钓鱼----word宏木马（免杀）

声明：该实验贴，仅用于学习知识，请勿用来做非法操作，净化网络环境，从自身做起

富强民主文明和谐 自由平等公正法治 爱国敬业诚信友善

今天使用cobal strike做一个牛逼的钓鱼操作，实验失败的同学多做几次，该实验受于网络以及各种不确定因素
一看就会，一做就废，我做了多次才成功做到免杀且成功shell。

 

首先 使用cobal strike 生成木马

 

 

 

点击添加一个监听端口/*请注意如果端口在防火墙上策略有误，则会导致反弹失败*/

 

 

名字自取，payload默认，主机为cobal strike服务端ip，端口为监听端口

 

 

点击确定，然后点击Generate

 

 

 

 

 

 

 

然后点击Copy Macro，复制木马

 

 

 

 

 

新建一个word

这里我们可以选择给文档名称设置为有诱惑力的名字，引诱他人来点击

比如：xx公司年终奖，xx大学录取名单

 

将复制的木马植入进word宏当中

视图>宏>查看宏>创建宏/*名称随意*/

 

 

将内容全部清除，再将copy内容复制进宏中，保存退出

 

 

 

 

保存后，将word文档另存为‘启用宏的模板’

 

 

运行文件，发现目标系统已经上线

 

 

 

下一步，对宏木马进行处置，使其绕过杀软的查杀

利用远程模板的方式，实现这一目标

导航窗格空白处右键，选中自定义功能区

勾选开发工具

 

 

开发工具>Visual basic

 

将代码复制到thisdocumet中，并且删除原文件的代码

 

 

保存文件，将文档另存为‘启用宏的word模板’

 

 

 

然后在把该文档上传至github上（可以使用其他方法，能保证可以正常访问的一个链接即可）

然后把文件url复制，并且url后面加上?raw=true 保存备用

 

 

新建一个word，随便双击一个模板打开，不做任何操作，直接保存在任意路径

 

 

然后将该文档的后缀名改为.zip并且解压

 

 

打开 word/_rels/settings.xml.rels/*记事本*/

将target的参数修改为我们之前保存好的url，保存退出

然后将文件压缩，并且将压缩好的文件后缀名改回.docx

 

再次打开处理好的docs文件，发现成功上线

 

 

成功绕过火绒

 

此方法可以绕过市面95%的杀软，还有5%留给我那没见过世面的自尊