"/>
声明:Tide安全团队原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 文章打包下载及相关软件下载: 一、winword简介winword.exe是微软Microsoft Word的主程序。该字处理程序是微软Microsoft Office组件的一部分。 二、通过winword.exe执行payloadmsfvenom生成木马:
设置监听:
winword.exe下载payload:
在未开启杀毒软件的情况下,winword.exe未对远程文件做校验直接下载到本地,下载的文件位置:
在开启杀毒软件的情况下执行该下载命令时会被拦截,下载的dll文件也会被删除: winword.exe客户端会以只读的形式乱码显示文件内容: 通过winword.exe加载dll文件,步骤如下:
添加成功后顺利建立会话: 当火绒和360处于开启的情况下,添加木马dll会报警,但会话依旧会建立: 三、总结
四、参考资料lolbas-winword:https://lolbas-project.github.io/lolbas/OtherMSBinaries/Winword/ 通过微软office下载和执行payload:https://medium.com/@reegun/unsanitized-file-validation-leads-to-malicious-payload-download-via-office-binaries-202d02db7191 E N D guān 关 zhù 注 wǒ 我 men 们 Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。 对安全感兴趣的小伙伴可以关注团队官网: http://www.TideSec.com 或长按二维码关注公众号: 上一篇:CVE-2021-40444漏洞深入分析 下一篇:远控免杀专题(52)-白名单psexec.exe执行payload |