無孔不入電子表格也可藏木馬

每一次的新漏洞出現(xiàn)。都是黑友們一次學(xué)習(xí)入侵的好機(jī)會(huì)。這次微軟又爆出的一個(gè)MS08-014漏洞，再次讓我們有了入侵練手的實(shí)戰(zhàn)機(jī)會(huì)。特別是喜歡通過—些少見手法進(jìn)行攻擊的朋友，這次的漏洞可以幫助我們制作出偏門木馬，將木馬四處散播……

MS08-014漏洞簡(jiǎn)介

MS08-014漏洞全稱為“Microsoft Excel中的漏洞可能允許遠(yuǎn)程執(zhí)行代碼”，如果用戶打開特制的Excel文件，這些漏洞可能允許遠(yuǎn)程執(zhí)行代碼。成功利用這些漏洞的攻擊者可以完全控制受影響的系統(tǒng)。包括安裝程序后門，查看、更改或刪除數(shù)據(jù)?；蛘邉?chuàng)建擁有完全用戶權(quán)限的新帳戶等。MS08-014漏洞安全更新的等級(jí)為“嚴(yán)重”，受此漏洞影響的軟件版本包括：Excel 2000Service Pack 3、Excel 2002 SP 3、Excel 2003 S P 2、Excel Viewer 2003、Excel 2007等。

MS08-014漏洞制作木馬

利用MS08-014漏洞，可以制作出特殊格式的木馬，也就是Excel木馬。制作的方法很簡(jiǎn)單，從網(wǎng)上下載MS08-014漏洞利用工具。解壓到C盤“ms08014”文件夾中備用。再用Excel 2000/2003新建一個(gè)Excel表格文件，可以簡(jiǎn)單輸入幾個(gè)數(shù)據(jù)，文件后綴名，xls。這里假設(shè)文件名為“test.xls”。然后用灰鴿子、上興或Byshell等木馬。生成一個(gè)木馬服務(wù)端程序。這里文件名為“muma.exe”

將“test.xls”和“muma.exe”復(fù)制到“c:/ms08014”文件夾中，點(diǎn)擊“開始”——“運(yùn)行”。輸入命令“CMD”?；剀嚭蟠蜷_命令提示符窗口。依次執(zhí)行如下命令

cd/

cd c:/ams08014

ms08-014.exe

命令執(zhí)行后?？梢钥吹铰┒蠢霉ぞ呙罡袷綖椋?/p>

ms08_0140exe explfile exefile

其中，“explfile”參數(shù)代表是用于溢出的excel文件?！癳xefile”用于指定木馬文件名。因此這里執(zhí)行如下命令：

ms08_014.exe test.xls muma.exe

命令執(zhí)行成功后。提示信息“Gene ratingtest.xls exploits file”說明生成溢出文件成功。這時(shí)。在“c:/ms08014”文件夾中，“test.xls”文件會(huì)被捆綁入指定的木馬程序。體積會(huì)發(fā)生變化，但文件格式還是不便。我們就有了一個(gè)特殊的xls木馬了。

前兩條命令，是用于切換到MS08-014漏洞利用工具所在文件夾的。有許多朋友在看我們的黑客書和文章時(shí)，都沒有注意命令工具的路徑問題，隨便打開一個(gè)命令窗口，不切換路徑，就直接執(zhí)行工具命令，因此出現(xiàn)“不是內(nèi)部或外部命令，也不是可運(yùn)行的程序”的錯(cuò)誤。因此，這里提醒菜鳥們，掌握一點(diǎn)基本的DOS命令是學(xué)習(xí)黑客必須的基礎(chǔ)。

xls木馬效果及免殺

當(dāng)在有漏洞的主機(jī)上。打開上面制作好的xls木馬文件時(shí)。Excel軟件會(huì)運(yùn)行，然后無提示出錯(cuò)誤關(guān)閉，此時(shí)木馬已經(jīng)在后臺(tái)悄悄的運(yùn)行了。xls木馬非常隱蔽。而且在普通情況下不會(huì)被殺毒軟件所查殺，比如瑞星、江民等殺毒軟件在默認(rèn)情況下都不會(huì)查殺xls木馬的。不過像卡巴斯基之類的殺毒軟件，則會(huì)檢測(cè)并查殺xls木馬，因此需要對(duì)xls木馬進(jìn)行免殺。

xls木馬的免殺分為兩部分，首先。在捆綁木馬到xls文件中之前。需要先對(duì)木馬文件進(jìn)行免殺。例如，在上面的過程中。先將“muma.exe”免殺后。就可以大大提高xls木馬運(yùn)行的成功率。對(duì)于國(guó)內(nèi)的幾款殺毒軟件。是百分之百可以突破的。另外。對(duì)生成的xls木馬也需要進(jìn)行免殺。這樣才能突破卡巴斯基的檢測(cè)。xls木馬的免殺與普通的木馬一樣，把它當(dāng)成一個(gè)exe文件，利用我們?cè)?jīng)介紹過的MYCCLI具進(jìn)行免殺就可以了。這樣連卡巴斯基也對(duì)xls木馬視而不見了。

QQ巧傳木馬

xls格式的木馬比較少見，但是對(duì)于許多辦公制作表格的電腦用戶來說，卻是極為常見的。對(duì)于這類用戶來說?？吹揭粋€(gè)程序游戲，可能會(huì)提高警惕，但是對(duì)于xls表格，則會(huì)非常放心的打開運(yùn)行。因此可以通過郵件發(fā)送、網(wǎng)盤共享、U盤攜帶等各種方式，傳播XLS木馬。

對(duì)于普通的電腦用戶來說。只要系統(tǒng)中裝有Excel軟件并且沒有打上漏洞補(bǔ)丁。同樣也逃不脫xls木馬攻擊的命運(yùn)。而且 xls木馬有一個(gè)好處，可以直接通過QQ傳播，而普通的其它格式木馬，會(huì)被QQ所阻擋，或者即使通過QQ發(fā)送后。也會(huì)被重命名而無法執(zhí)行。而xls木馬在QQ默認(rèn)的中安全等級(jí)下?？梢灾苯舆M(jìn)行傳輸，并且文件傳輸后。不會(huì)被重命名。

巧用xIs木馬提權(quán)

在本期的《抓肉雞還得老將出馬》中。我們介紹了抓雞的簡(jiǎn)單方法，但是沒有講解如何進(jìn)行權(quán)限提升。有許多權(quán)限設(shè)置嚴(yán)格的網(wǎng)站。即使拿到的Webshell，也很難以管理員權(quán)限執(zhí)行上傳的其它木馬程序，利用xls木馬則可以直接提升權(quán)限。方法很簡(jiǎn)單。

確定網(wǎng)站漏洞

要利用xls提權(quán)，當(dāng)然首先得確定網(wǎng)站上是否安裝了Excel軟件，如果沒有安裝。那么也無從提權(quán)。

在“Webshell Control 2.0”中連接上傳的asp木馬后門。然后查看“C:/Program files”或“D:/Programfiles”文件夾，看看其中是否有“Microsoft Office/Office12/”文件夾。并查看是否存在Excel程序文件。這里得到Excel程序安裝路徑為“C:/Program Files/Microsoft OfficekOffice12/excel.exe”。

上傳x18木馬

在“Webshell Control 2.0”中連接上傳的asp木馬后門，在當(dāng)前路徑上，右鍵點(diǎn)擊右側(cè)窗口中的空白處，在彈出菜單中選擇“上傳”命令，打開文件上傳對(duì)話框。在“本地”后瀏覽指定本地的xls木馬，在“遠(yuǎn)程”中設(shè)置上傳后的路徑。點(diǎn)擊“上傳”按鈕。很快就可以將xls木馬上傳成功。上傳完成后，查看網(wǎng)站服務(wù)器目錄，檢測(cè)xls木馬文件是否上傳成功，并且確定文件上傳后的路徑。這里xfs木馬上傳路徑為“d:/WEB/test.xls”。

運(yùn)行xls提權(quán)

現(xiàn)在，我們要想辦法讓xls木馬在網(wǎng)站服務(wù)器上運(yùn)行。只要xls文件運(yùn)行后，捆綁在其中的木馬也會(huì)被運(yùn)行。當(dāng)然，在普通情況下，直接上傳木馬并運(yùn)行，由于不具備足夠的權(quán)限，因此木馬無法完成服務(wù)安裝、注入等系統(tǒng)級(jí)操作。不過我們上傳的這個(gè)xls木馬文件，它在打開時(shí)會(huì)造成Excel軟件溢出，獲得系統(tǒng)管理員的權(quán)限，從而使用木馬以足夠的權(quán)限執(zhí)行了。木馬被執(zhí)行后。反彈連接到我們的控制站上，即可以這樣就簡(jiǎn)單的完成了Webshell的提權(quán)。

在“Webshell Control 2.0”中。點(diǎn)擊工具欄上的“shell”窗口，打開Shell命令窗口。在下方的輸入框中輸入如下命令：

C:/Program Files/Microsoft Office/Office12/excelexe d:/WEB/test/test.xls

點(diǎn)擊“執(zhí)行”按鈕，即可在網(wǎng)站服務(wù)器上自動(dòng)調(diào)用Excel打開我們上傳的xls木馬了。如果網(wǎng)站服務(wù)器上存在漏洞。此時(shí)雖然沒有返回提示，但是已經(jīng)溢出Excel提權(quán)。并成功執(zhí)行木馬了。打開木馬控制器，就可以等待肉雞自動(dòng)上線了。