(当然,不用宏,直接使用VBA从零开始变成也是可以的) 在Excel中启用宏所必须的设定 只要点击打开[开发工具]选项卡就能开始录制宏命令。...图7 如图设置完毕后,打开包含宏的工作簿时宏是被禁用的;如果确认宏的安全性没有问题,用上面图5图6的方法再启用宏就可以了。 举例创建一个最简单Excel宏 现在我们尝试着创建一个具体的宏出来。...(图18) 图18 在工作簿上创建按钮来执行宏 下面我们来说明一下如何通过按钮来执行宏。 Excel支持在工作簿上创建一个图形来作为按钮,并把它分配给宏作为启动器的方式。...Excel 2007 之后的版本,包含宏的文件簿通常会被保存成为另外一种文件格式「启用宏的工作簿」。 在Excel菜单上依次选择[文件][导出]。然后双击「更改文件类型」。...在「另存为」画面上找到[保存类型],然后选择「启用宏的工作簿(*.xlsm)」,输入文件名后点击[保存](图25)。 包含宏命令的文件扩展名为「.xlsm」。
after the PDF file object and saves it. ”在PDF文件结构对象的后面,添加在Word中创建带有宏的mht文件并保存。...也就是将这个带有宏的MHT 内容添加到 PDF 的对象结构后面。最终生成出来是一个有效的PDF文件,但也可以在Word程序中打开。...首先创建带有宏的mht文件,这里写一个弹框的宏代码,另存为MHT文件。图片然后利用python的reportlab库简单创建PDF文件。...pdf\_canvas.save()因为PDF数据流stream在以Word程序打开的时候存在编码问题,笔者在Word程序和文件格式转换生成PDF创建出来的PDF文件均无法顺利运行MHT部分,最后用reportlab...图片图片双击运行,能看到PDF被正常打开,如果打开方式是用Word程序,则会看到Word MHT也能正常打开,并且单击“启用编辑”以退出受保护的视图,能看到运行了宏代码图片图片这里有个需要注意的地方是,
它是微软新一代的帮助文件格式,利用HTML作源文,把帮助内容以类似数据库的形式编译储存。...另存为的Word类型务必要选”Word 97-2003 文档 (*.doc)”,即 doc 文件,保证低版本可以打开。之后关闭,再打开即可执行宏代码。...默认情况下,Office已经禁用所有宏,但仍会在打开Word文档的时候发出通知。...2.3 宏免杀 Evil Clippy https://github.com/outflanknl/EvilClippy/releases windwos安装: 在Visual Studio开发者命令行窗口中输入下列命令...的一个执行任意代码的方法,可以在不启用宏的情况下执行任意程序。
但是打开携带宏病毒的文档,其中的命令就会被执行,导致文档所在电脑主机被感染。 打开含有宏的文档文件,会遇到"安全警告",单击"启用内容"按钮,宏就会执行。...某段数据上标记了字母'M',表示这段数据中含有VBA宏(Macro): 宏病毒的激发机制有三种:利用自动运行的宏,修改Word命令和利用Document对象的事件。...这可以帮助解决绕过一些杀毒软件,但重要的是要\确保在进行实时入侵操作之前对其进行测试。...保存,点击启用内容后(即启用宏功能),代码执行。...生成vba代码: word操作 点击上方标签视图标签,在该标签中点击宏按钮,弹出的对话框中输入宏名字,然后单击创建按钮。
然后在第一切换到宏,复制粘贴如下语句: =EXEC("notepad") =HALT() 必须带=HALT(),不然虽然命令执行了,但会报错,容易露馅! 然后测试一下,选中语句,右键,点击执行: ?...然后另存,2016版本记得点击否,然后得选择一个启用宏的文件,远方服务器监听: ? 就欧克了,当然这里肯定不止这个msi文件,都能执行命令了,该怎么利用,你懂的!...然后修改文件名和图标进行伪装就欧克了 6.word宏钓鱼 新建一个word,打开,然后点击视图,宏,查看宏,选择当前文档,点击创建 ? 然后cs生成宏代码,复制粘贴进去 ? 然后另存为docm文档?...那么点击启用宏,图片就好消失,显示出正常的文件来。...还有一种是远程加载的方式,先创建一个带有宏木马的文档另存为dotm后缀当成模板,放在远程服务器上,开启http服务,然后再新建一个模板word,改后缀改成zip,然后解压。 ?
0x01 原理初探 宏(Macro)是一种批量处理的称谓,是指能组织到一起作为独立的命令使用的一系列Word命令,可以实现任务执行的自动化,简化日常的工作。...在Word和其他微软Office系列办公软件中,宏分为两种 内建宏:局部宏,位于文档中,对该文档有效,如文档打开(AutoOpen)、保存、打印、关闭等 全局宏:位于office模板中,为所有文档所共用...新建一个word文档生成一个宏 ? 找到project里面的Word对象,将代码粘贴 ? ctrl+s保存,这里可以保存成.dotm或.docm都可以,这两个文件格式都是启用宏的Word格式 ?...这里我假设已经将word发给了我要钓鱼的主机上,可以使用社工的方法使诱导被害者点击启用这个宏,具体方法我就不说了,师傅们自行拓展 ? 点击过后发现已经上线了 ?...0x02.2 远程加载 在word里新建一个模板 ? ? 将模板另存为一个新的docx ? 把docx后缀名改为zip后缀 ? 对zip进行解压得到以下几个文件 ?
如果你在使用的版本默认能支持新版的文件格式的话请优先使用新版。新版的格式不仅能以更小的空间保存同样的内容,还可以利用统一的文件内容排布来实现跨软件的兼容性。...版本 Word Excel PowerPoint 旧版 *.doc *.xls *.ppt 新版(不带宏) *.docx *.xlsx *.pptx 新版(带宏) *.docm *.xlsm *.pptm...我知道 Office 模板什么的还有自己的格式,这没必要写出来,用的太少了 如果是旧版的格式,MS Office 会有个按钮帮助你快速的转换到新格式。...没有提示的话,也可以手动另存为成新版的格式。 (如果没用到宏的话存成上面表格里第二行的格式就行。) 提取内部文件 三大件都可以通过改后缀名为 rar 来查看内部的文件树并解压提取内部文件。...) 平滑动画 在会议等活动上使用的 PPT,花点心思优化一下动画的衔接能得到一个不错的效果。
接下来,嵌入Word文档中的基于VBA的指令会读取精心构建的Excel电子表格单元以创建宏。这个宏将使用附加的VBA宏填充同一XLS文档中的附加单元格,从而禁用Office的安全防御功能。...混淆机制分析 由于Microsoft Office会自动禁用宏功能,因此攻击者会试图用出现在Word文档中的消息欺骗目标用户以启用宏功能。...消息中会提醒用户:“此文档是在以前版本的Microsoft Office Word中创建的。若要查看或编辑此文档,请单击顶部栏上的“启用编辑”按钮,然后单击“启用内容”。”...而VBA则是微软用于Excel、Word和其他Office程序的编程语言,VBA允许用户使用宏记录器工具创建命令字符串。...禁用Excel宏警告 恶意软件的开发人员通过在Word文档中嵌入指令,从Excel单元格中提取内容,实现了警告绕过。
之后修改当PowerShell-C2脚本中的Word以及DownloadString地址: ?...Matt Nelson还创建了一个Office 宏,它执行相同的技术,但另外创建了一个注册表项,每次用户登录时都会执行C2Code PowerShell脚本以保持持久性: ?...下面我们演示一下流程,首先使用Word新建一个Word文档,选择视图->宏->查看宏: ? 输入任意宏名称,之后点击“创建” ?...之后清除编辑器内的所有宏代码,之后复制“Macro”宏代码到粘贴板,之后粘贴宏: ? 之后关闭宏编辑器,同时将文档另存为宏文档: ?...之后发送恶意文档给目标用户,当目标用户使用Word打开恶意文档并点击"启用宏"时恶意代码将成功执行: ? ? 之后在Python提供的Web服务端将会收到两次请求: ?
宏是 Office 自带的一种高级脚本特性,通过 VBA 代码, 可以在 Office 中去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中 的一些任务自动化。...Visual Basic for Applications(VBA)是 Visual Basic 的一种宏语言,是微软开发出来在 其桌面应用程序中执行通用的自动化(OLE)任务的编程语言。...另存为的 Word 类型务必要选”Word 97-2003 文档 (*.doc)”,即 doc 文件,保证低版 本可以打开。之后关闭,再打开即可执行宏代码。...这里以 EvilClippy 作为演示 用于创建恶意 MS Office 文档的跨平台助手。 可以隐藏 VBA 宏,踩 VBA 代码(通过 P 代 码)并混淆宏分析工具。...生成的宏代码复制进去,Ctrl+A 全选,然后 Ctrl+C 粘贴 CS 生成宏代码流程 然后粘贴进来 再 Ctrl+S 保存 这里需要选择否,然后保存为启用宏的 word 文档 注意:这里一定要先关闭杀软
宏是 Office 自带的一种高级脚本特性,通过 VBA 代码, 可以在 Office 中去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中 的一些任务自动化。...Visual Basic for Applications(VBA)是 Visual Basic 的一种宏语言,是微软开发出来在 其桌面应用程序中执行通用的自动化(OLE)任务的编程语言。...另存为的 Word 类型务必要选”Word 97-2003 文档 (*.doc)”,即 doc 文件,保证低版 本可以打开。之后关闭,再打开即可执行宏代码。...这里以 EvilClippy 作为演示 用于创建恶意 MS Office 文档的跨平台助手。 可以隐藏 VBA 宏,踩 VBA 代码(通过 P 代 码)并混淆宏分析工具。...这里需要选择否,然后保存为启用宏的 word 文档 ?
当为初始访问选择payload时,攻击者必须选择允许执行任意代码或使用最少用户交互执行shell命令的文件格式。...这些文件格式可能很少,这就是攻击者依赖文件类型(如.HTA、Office宏、.VBS、.JS等)的原因。...此外,攻击者必须以一种会导致执行的方式将该文件发送给最终用户。同样,这方面的选择可能会受到限制,因为直接链接到payload或将它们附加到电子邮件往往会受到防病毒或浏览器保护的阻碍。...我首先决定解决文件格式的问题。我花了很多时间在注册表中寻找可能允许执行的新文件格式。这些格式中的大部分都可以在HKCR: registry hive的根目录中找到。...可以看到,启用Office 2016的OLE 阻塞规则和ASR的子进程创建规则后,.SettingContent-ms文件结合Office文件夹中的“AppVLP.exe”允许我们绕过这些控件并执行任意命令
为了增加迷惑性,可以将bat文件插入一个office文件(word/excel)中,依次选择插入—对象—选择“由文件创建”—通过浏览“选定bat文件”—勾选“显示为图标”—“更改图标”从而获得更好的迷惑性...将生成的宏文件添加到office文件中,打开word文档,点击“试图”,选择“宏”,“宏名”随便起,宏位置选择当前office文件,单击“创建”会弹出VB编辑界面。 ?...将原来的代码删除,将macro宏文件代码复制粘贴到其中,另存为“word 97-2003文档” ? ? word 97-2003文档 ?...将修改好的word发送到目标机器,当用户点击触发即可运行宏病毒,当用户点击启用宏内容时, 服务端将接收到session ?...由于在物理机上安装有杀毒软件,在物理机上打开word,服务端成功获得session,短时间内杀软未报毒, 当用户点击了“启用内容”按钮,下次打开word会自动运行宏病毒,不再弹出提示。 ?
,只是将它们放置在功能区“加载项”选项卡中。...If FileHasYesProperty(vFile, gsPETRAS_RESULTS) Then '如果是则打开并启用关闭,保存和另存为菜单命令项 Set gwbkResults...If Len(gwbkResults.Path) = 0 OrgwbkResults.ReadOnly Then '新的或只读工作簿, 因此必须"另存为"....'关闭事件后,必须有一些错误处理,以确保总是可将它们重新打开 On Error GoTo ErrHandler '初始化处理计数器 lCount = 0 lTotal...一起学Excel专业开发17:Excel工时报表与分析系统开发(2)——创建特定应用加载宏》中,我们使用加载宏和模板创建每周工时表并将它们存储到工作区,ConsolidateWorkbooks过程用来获取这些工时表工作簿并将它们合并和分析
文件验证失败 文件是使用“在受保护的视图中打开”选项打开的 文件是从其他人的 OneDrive 存储中打开的 XLM / Macro 4.0 (excel宏钓鱼) excel下有宏功能,可以用来执行命令...Word宏 新建一个word文件,进入宏选项(如果没有请自行在开发者工具里开启 然后随便输AutoOpen(文件打开时自动执行宏),创建,注意宏的位置要指定为当前文档 然后进入宏编辑框 输入以下命令...(前提是在信任中心设置开启所有宏) 当然,一般情况下打开此类文件会显示 启用内容后就会弹计算器了 Word DDE 在word文件里,输入 ctrl+F9,进入到域代码编辑。...我们可以键入以下代码使文件在被打开时执行系统命令(word2019复现未成功,word2016成功,似乎是word版本问题 这个蛮实用的,目前众多word是默认禁用宏的,dde只需要用户点击两个按钮即可执行...然后在带模板的文档的压缩包里面修改一些内容,使其指向的模板修改为我们自己创建的模板文件,这之间的过程可以由smb协议完成,故过查杀几率较高。 我们在启用宏的模板文件(doc3.dotm)里写入宏。
我们输入文档密码,word提示我们是否启用宏。 ? 当我们启用宏后,会看到一个提示信息。大体的意思是,“本文档无法打开,请更换一台计算机试试“。...三、word宏分析 如果允许宏运行,很遗憾,受害者的计算机很有可能会受到后续的一系列攻击。 那么宏到底做了什么?就让我们一起来研究一下。我们先将word文档密码去掉,另存为一个新的文档。 ?...在word中启用文档宏,点击确定时,按住SHIFT,阻止宏自动执行。再次打开VB编辑器,现在文档中的VB工程出现了,打开时会发现工程被加了密码。 ? ?...在解压出来的目录中,可以找到word/vbaProject.bin,该文件就是word文档的VB工程文件。 ?...(tor原本被以隐藏方式执行,手动将其改为正常显示) 可以发现作者在程序中设置了tor代理,之后将通过tor发送网络请求 ?
小心、小心、再小心,但还是避免不了Excel文件被损坏,那你是将受损文件弃之不顾呢,还是想办法急救呢?如果属于后一种的话,你将从下面的内容中得到惊喜。...单击该对话框中的修复按钮就可以了。...; (6)在Word菜单栏中依次执行“文件”/“另存为”命令,将转换获得的文本内容保存为纯文本格式文件; (7)运行Excel程序,来执行“文件”/“打开”命令,在弹出的文件对话框中将文字类型选择为“文本文件...,大家可以单击“文档恢复”任务窗格中的“关闭”按钮; Excel程序在缺省状态下是不会启用自动修复功能的,因此大家希望Excel在发生以外情况下能自动恢复文件的话,还必须按照下面的步骤来打开自动恢复功能...: (1)在菜单栏中依次执行“工具”/“选项”命令,来打开选项设置框; (2)在该设置框中单击“保存”标签,并在随后打开的标签页面中将“禁用自动恢复”复选框取消; (3)选中该标签页面中的“保存自动恢复信息
恶意表格文件由EPPlus编译 这些恶意Excel文件也是“出身不凡”,它们并不是在常规的Microsoft Office软件中编译的,而是在带有EPPlus的.NET库中编译的。...该库还将创建OOXML文件,而无需编译VBA代码和Office元数据。”安全研究团队在报告中写到。...OOXML文件格式是一种开放包装约定(OPC)格式:一种ZIP容器,主要包含XML文件,可能还包含二进制文件。它最初是由Microsoft在Office 2007发行版中引入的。...OOXML电子表格使用扩展名.xlsx和.xlsm(用于带有宏的电子表格)。 使用EPPlus创建VBA项目时,它不包含已编译的VBA代码。...自6月起,该恶意文档的运营商开始活跃,其中包含恶意宏脚本。如果打开Excel文件的用户允许执行脚本(通过单击“启用编辑”按钮),那么宏将在目标用户的系统中下载并安装恶意软件。
上新建的txt中,另存为Science.txt、Notebooks.txt、Ulysses.txt,记得在另存为的窗口中,右下角选择utf-8编码,最后将此三本书复制到集群中的master虚拟机中,临时保存目录为...比如从windows中编写一个demo.py文件,虽然加了在文件首行输入#!...windows中拷贝到linux的文件,用vim打开该文件,在命令行模式下面输入‘:set ff’则可以查看到格式为dos, 用命令“:set ff=unix”就可以改为unix。 ...注意创建目录和查看目录都需要用hadoop自有的命令,而非linux的 命令;另外在执行/opt/hadoop/bin/hadoop fs -mkdir /new_dir创建new_dir目录时出错了...目录的,必须要用hadoop自己的命令查看: [CAI@master ~]$ /opt/hadoop/bin/hdfs dfs -ls /usr/hadoop 18/09/16 15:00:
第1 步:创建一个新工作簿,将其保存为启用宏的工作簿(本示例使用名称MyCustomRibbon.xlsm)。 第2步:单击“文件——信息”,选择“属性——高级属性”,如下图1所示。...图1 在“属性”对话框中,“标题”属性显示加载宏名称,“备注”属性显示加载宏详细说明,如下图2所示。 图2 第3步:添加宏。由于自定义功能区的每个命令都需要有相应的事件处理程序,而这需要宏来实现。...图3 第4步:保存为Exce加载宏(“.xlam”)。 单击“文件——另存为”,在“保存类型”下拉列表中选择“Excel加载宏(*.xlam)”,如下图4所示。...图7 在“加载宏”对话框中,选择刚才创建的“自定义界面加载宏”,如下图8所示。如果在“可用加载宏”列表中没有出现自已创建的加载宏,则单击“浏览”按钮,导航到加载宏所在的文件夹,选择该加载宏即可。...图8 此时,在Excel工作簿功能区中出现了一个新的选项卡,如下图9所示。单击选项卡组中的按钮,会调用相应的宏显示信息。 图9 第7步:修改成中文。
领取专属 10元无门槛券
手把手带您无忧上云