利用PowerPoint进行钓鱼攻击

警告：本文中提到的技术和工具可能已过时，不适用于当前环境。但本文仍可作为学习资料，并可能用于更新或集成到现代工具和技术中。

如何确保人们打开我们的恶意文件并执行？我们只需利用微软多年来建立的用户信任，然后在PowerPoint中插入一些危险的宏，人们甚至会面带微笑地打开它。

另一篇优秀的博客文章详细介绍了宏本身以及如何规避防病毒软件。本文添加了一个技巧，使宏在文件打开时立即运行，无需额外的用户操作，如点击或生成鼠标悬停事件。这是PowerPoint特别需要的技巧，因为它不像Microsoft Word和Excel那样提供Auto_Open或Workbook_Open选项。

本文将介绍如何通过屏幕顶部的友好警告横幅，在用户启用宏后立即运行您的宏。

首先，我们需要打开PowerPoint演示文稿，如果尚未添加“开发人员”选项卡，请先添加它。

在开发人员选项卡中，单击最左侧的“Visual Basic”按钮，这将打开一个新窗口。接下来，转到“插入”>“模块”，在这里您可以添加宏。对于此示例，我们将打开一个消息框。

或者，如果您只想自己复制文本：

1
2
3

Sub Run_On_Open()
    MsgBox "Run_On_Open just ran"
End Sub

当然，如果这是一个实际的恶意尝试，您会在这里放置规避防病毒的负载，如Sally的博客文章所示。

将PowerPoint保存为.pptm文件并暂时关闭。现在有快速方法和稍慢的方法来完成接下来的几个步骤。快速方法是使用名为CustomUI Editor的程序，您可以在此处找到如何使用它的教程。我们不能推荐使用任何随机的.msi文件，因此我们将采用更手动的选项。

首先，您需要将PowerPoint文件解压缩到其自己的目录中，然后需要编辑_rels/.rels文件，在最后一个之前添加以下行：

1
2

<Relationship Type="http://schemas.microsoft.com/office/2006/relationships/ui/extensibility"
Target="/customUI/customUI.xml" Id="Rd6e72c29d34a427e" />

接下来，您需要在与_rels目录相同的级别上创建一个新目录。 在此新目录中创建一个名为customUI.xml的文件，并添加以下文本：

1
2
3

<customUI xmlns="http://schemas.microsoft.com/office/2006/01/customui"
onLoad="Run_On_Open" >
</customUI>

将文件重新压缩。如果您在Mac上，请确保排除.DS_store文件。

1

zip -r newRunOnOpen.pptm . -x "*.DS_Store"

确保使用.pptm扩展名命名，因为PowerPoint必须能够加载我们创建的自定义功能区。您的宏现在应在打开PowerPoint时运行（一旦启用宏）。

您可以从Carrie的课程中了解更多！ 在此处查看： 攻击仿真工具：Atomic Red Team、CALDERA等 PowerShell for InfoSec 提供实时/虚拟和点播课程！