一种工具是针对 Microsoft Outlook 的 VBA 宏,它使用目标的电子邮件帐户向受害者 Microsoft Office 通讯录中的联系人发送鱼叉式钓鱼电子邮件。...Outlook VBA 模块 Gamaredon 组使用包含自定义 Microsoft Outlook Visual Basic for Applications (VBA) 项目的包。...在调查恶意活动时,我们很少看到使用 Outlook 宏来传递恶意软件。...接下来,它使用特殊选项/altvba 重新启动 Outlook,该选项会加载 Gamaredon VBA 项目。...这些宏注入模块还具有篡改 Microsoft Office 宏安全设置的功能。因此,受影响的用户不知道他们在打开文档时再次破坏了他们的工作站。
本文将浅析GadgetToJScript的反序列化原理与在VBA中的利用。...用来反弹会话时,代码如下: CreateObject("WScript.Shell").Run "powershell.exe ..............."...Outlook.Application: Set outlookApp = CreateObject("Outlook.Application") outlookApp.CreateObject("Wscript.shell...而在VBA中的被检测的列表已有大佬整理了出来: https://github.com/synacktiv/AMSI-Bypass ? ? 当然,DDE与excel 4.0是不受amsi所保护的。...即BinaryFormatter的反序列化加载。
近期,研究人员发现使用恶意 Microsoft Excel 加载项(XLL)文件发起攻击的行动有所增加,这项技术的 MITRE ATT&CK 技术项编号为 T1137.006。...这些加载项都是为了使用户能够利用高性能函数,为 Excel 工作表提供 API 调用接口。与 VBA 等其他接口相比,该方式能够更有效地扩展 Excel 的能力,使其支持更多功能,例如多线程。...攻击者将带有恶意 XLL 附件或者恶意链接的电子邮件发送给用户,受害者点击附件打开 Microsoft Excel 后会提示其安装并激活加载项。...△ 提示信息 攻击者通常将代码置于 xlAutoOpen函数中,该函数会在加载项被激活时立即触发执行。这意味着,与要求用户启用宏的 VBA 宏不同,受害者只要打开就会执行恶意代码。...Excel 提供了许多合法执行代码的方式,如 Excel 4.0 宏、DDE 和 VBA,这些都已经被攻击者滥用。
双击附件打开 Microsoft Excel,提示用户安装并激活加载项。 图 1 – 打开 XLL 文件时向用户显示的提示。...攻击者通常将他们的代码放在xlAutoOpen函数中,该函数在加载项被激活时立即执行。...使这种技术变得危险的是,只需单击一下即可运行恶意软件,这与需要用户禁用 Microsoft Office 的受保护视图并启用宏内容的 VBA 宏不同。...将 Microsoft Excel 配置为仅允许受信任的发布者签名的加载项。 配置 Microsoft Excel 以完全禁用专有加载项。...Excel 提供了许多合法的代码执行方式,例如 Excel4 宏、动态数据交换 (DDE) 和 VBA,这些都被攻击者广泛滥用。
、Excel、PowerPoint、Outlook、Teams 等办公软件的效率提升多倍。...当前,Copilot 主要通过两种方式集成到了 Microsoft 365 中: 一、直接嵌入 Microsoft 365 应用中——Word、Excel、PowerPoint、Outlook、Teams...在 Word 中,Copilot 可以在你写作时,对文件进行总结并提出编辑建议。此外,它也能根据组织的信息内容直接生成一份文件的草稿,你可以自由编辑和改编 AI 生成的内容。...对于不懂 Excel 里面各种函数调用、宏、VBA 语言的用户而言,基于 Copilot,可以直接用“人话”(自然语言),提出各种问题,然后它会推荐一些实用的公式。...参考: https://news.microsoft.com/2023/03/16/introducing-microsoft-365-copilot-your-copilot-for-work/ https
注意: 可以将“ Shell.Application”(已加载的shell32.dll中实现)对象替换为“ Wscript.Shell”. 7.Excel XLL (Excel进程加载恶意的DLL) XLL...库可以扩展Excel,XLL库只是导出特定功能的DLL。...此外,我们可以将加载jscript.dll或vbscript.dll来运行脚本本身。 限制: ScriptControl对象仅在32位版本中可用。...由于64位进程无法加载32位inproc对象,因此64位Outlook无法与该对象进行交互。...和ScrRun.dll已加载到Visio进程中 注意: ExecuteLine方法仅允许执行一行代码。
前面推文虽有介绍使用dotNET和python这样的脚本语言去处理,但仍然有一片广阔的领域待开发,使用Excel自身的能力,即VBA和轻量化ETL工具PowerQuery的结合。...dotNET与VBA在Excel对象模型上的差别 在dotNET脚本中,引用Excel对象模型,理论上可以替代VBA的脚本,但本轮测试发现,在dotNET上的Excel对象模型,貌似未能有最全的开放给VBA...就算用上了最新的PIA,16版的Microsoft.Office.Interop.Excel.dll,仍然会对一些新方法如调用Workbook的Queries对象报错。...具体的M代码如下,定义了一个参数变量filePath,用于在VBA上调用方法来赋值。 因dotNET的接口上缺少此方法,只能在VBA上定义好再调用来赋值。...具体实现 整个流程如下所示,在测试过程中同样发现,当一个Excel的进程多次被使用时,会存在报错现象,所以索性牺牲一点点性能,每次循环都将Excel的进程给清除,并在一开始时也清除所有Excel进程,保证模板文件和其他数据源没有被打开
当 Office 应用程序启动时,会对存储外部插件的文件夹进行检查,以便应用程序加载它们。执行以下命令来发现 Microsoft Word 的可信位置,也可以删除外部插件。...最好的方法是创建一个不会导致应用程序崩溃的自定义 DLL 文件 DLL_PROCESS_ATTACH 可以把 DLL 加载到当前进程的虚拟地址空间(Word、Excel、PowerPoint 等),DLL...Word Add-Ins 具有“.wll”文件的扩展名,本质上是放置在 Word 启动文件夹中的 DLL 文件,每次 Microsoft Word 启动时都会加载: C:\Users\Admin\AppData...下次 Word 启动时,将加载加载 DLL 程序,并执行恶意文件: ? 还有个 Powershell 版本的脚本,可以生成相关文件(WLL、XLL、VBA)。...当 Microsoft Office 应用程序再次启动时,DLL 被执行: ?
")) $excel.RegisterXLL("C:\test\messagebox.dll") 参考: 《Use Excel.Application object's RegisterXLL() method...persistence》 方法11:Office加载项 如果系统已安装office软件,可通过配置Office加载项实现劫持,作为被动后门 常用利用方式: Word WLL Excel XLL Excel...VBA add-ins PowerPoint VBA add-ins POC:https://github.com/3gstudent/Office-Persistence 参考: 《Use Office...,劫持Explorer.exe对linkinfo.dll的加载 方法17:劫持Office软件的特定功能 通过dll劫持,在Office软件执行特定功能时触发后门 参考: 《利用BDF向DLL文件植入后门...Visual Studio生成的exe或是dll在其他系统使用,提示缺少相关DLL文件 解决方法: 将程序打包发布 项目菜单->项目属性,C/C++->代码生成->运行库,选择多线程 (/MT) ---
但在专用于处理数据的 Excel 上我们却一直只能用 VBA。这么多年,为什么官方还不出来改进一下? 近日,微软宣布正在将流行编程语言 Python 引入了 Excel。...使用新版 Excel 时,我们可以像在 Microsoft Teams 和 Microsoft Outlook 中共享式办公一样对表格内容进行 @ 和共同编辑,微软表示,即使有团队成员没有激活 Excel...微软声称,Python 和 Excel 只能通过有限的函数(xl () 和 =PY ())进行相互通信,这些函数只能返回代码结果,而不能返回宏、VBA 代码或其他数据。...三年前我加入微软时,还无法想象这会成为可能。」...参考内容: https://www.theverge.com/2023/8/22/23841167/microsoft-excel-python-integration-support https://
Yeah, 【准备工作】网上学习到有两种方法:一是VBA调用OutLook控件进行发送,这要在电脑中安装Office OutLook,(可惜我的电脑没有安装),一是VBA调用CDO控件,再利用QQ邮箱发送...CDOMail.AddAttachment M_AddAttachment '发送附件 stUl = "http://schemas.microsoft.com...,则提示错误类型和错误代码 .Cells(i, 10).Value = "失败" fail = fail + 1..." & sucess & "【失败】=" & fail) End With disAppSet (True) End Sub 听说,如果我们用程序调用CDO,再调用QQ邮件系统发送邮件时,...GetOpenFilename相当于Excel打开窗口,通过该窗口选择要打开的文件,并可以返回选择的文件完整路径和文件名。
Microsoft Outlook. 没错,Microsoft Outlook从2003版本起就开始支持OLE Package。...编译Package 你需要: Microsoft Outlook 2003之后版本, 包括 Outlook 2016。...在Outlook中你无法点击“作为图标显示”复选框,这就需要你改变图标和描述了......除了Outlook 2013,你可以转换HTML消息格式转换为富文本格式,然后返回插入 -> Package 勾选“显示为图标”选项,然后选择一个新的图标—— Winword.exe和Excel.exe...*参考来源:Kevin Beaumont,编译/FB小编鸢尾,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)
文章背景: 最近发现有些办公电脑打开一些excel文件(xls格式)时,会弹出一个对话框,显示""隐藏模块中出现编译错误:"。...当代码与此应用程序的版本或体系结构不兼容(例如文档中的代码面向 32 位 Microsoft Office 应用程序,但它试图在 64 位 Office 上运行)时,通常会发生此错误。...office365有32位和64位两个版本。通过64位office软件打开早期的excel文件,如果代码中存在早期面向32位office编写的VBA代码,可能会存在上述的编译错误。...只有在 64 位版本的 Microsoft Office 中运行 VBA 代码时,才需要修改 VBA 代码。...参考资料: [1] 隐藏模块中出现编译错误:(https://docs.microsoft.com/zh-cn/office/vba/language/reference/user-interface-help
当用户重启时或者重新创建一个explorer.exe进程时,就会加载我们的恶意dll文件,从而达到后门持久化的效果。这里我们直接结束一个explorer.exe进程再起一个进程来看一下效果 ?...Excel XLL Excel dll的编写可以参考三好师傅这个项目:链接 用三好师傅powershell脚本生成现成的Excel dll:链接 将生成的DLL文件复制到%appdata%\Microsoft...PowerPoint VBA add-ins 用三好师傅powershell脚本生成现成的PowerPoint dll:链接 将生成的DLL文件复制到%appdata%\Microsoft\AddIns...AppInit_DLLs User32.dll被加载到进程时,会读取AppInit_DLLs注册表项,如果有值,调用LoadLibrary() api加载用户dll。...helper yourdll.dll来添加拓展功能,添加了之后,在启动netsh的时候就会加载我们dll文件 添加自定义helper dll 关于helper dll的编写可以参考这个项目:链接 我们可以使用两种方式来添加
和一般Winform上用的RichText控件,别人BS的富文本编辑器就强大得多。 笔者找寻过程中,也总算找到一款很不错的开源控件,将它的dll编译后,还真能用了。...在Excel催化剂的批量邮件功能中, 为了得到最好的体验,不止是不用依赖OUTLOOK的组件来发邮件(好像VBA的方案只能用outlook组件,用户电脑没安装outlook就不能用),同时为了让用户可以在邮件正文编辑区的使用体验和...邮件群发功能 这个第3方富文本编辑器控件,不单单可以在里面作一些格式的配置,还可以有打开html文件,直接从网页其他地方复杂内容直接粘贴和插入本地图片,有了这些能力,在发送邮件正文时,使用体验就非常棒,...只需引用以下的dll即可。 有兴趣的可以看作者的github代码https://github.com/yahch/kwig 富文本控件dll 此控件是自定义控件,可以通过设计器拖拉出来。...所以VSTO和VBA开发,真的有一个本质的区别,VBA大不了最多用下系统的API函数,OFFICE的对象模型,但在VSTO的世界里,只要用心找,可以尽性地用尽一切世界上优秀的代码轮子。
“当我们注意到恶意文件没有经过编译的代码,并且也缺少Office元数据时,我们很快想到了EPPlus。该库还将创建OOXML文件,而无需编译VBA代码和Office元数据。”...Epic Manchego生成的OOXML电子表格文件缺少一部分已编译的VBA代码,该代码专门用于在Microsoft专有Office软件中编译的Excel文档。...它最初是由Microsoft在Office 2007发行版中引入的。OOXML电子表格使用扩展名.xlsx和.xlsm(用于带有宏的电子表格)。...使用EPPlus创建VBA项目时,它不包含已编译的VBA代码。EPPlus没有创建编译代码的方法:创建编译VBA代码的算法是Microsoft专有的。...已编译的VBA代码可以存储攻击者的恶意代码。比如Epic Manchego以自定义VBA代码格式存储了他们的恶意代码,该格式也受到密码保护,以防止安全系统和研究人员分析其内容。 ?
通过创建了简单但功能强大的加载项,以改进和增强Microsoft Office应用程序,让众多ExtendOffice的顾客摆脱大多数Office用户每天必须执行的耗时操作!...使用Microsoft Office程序(Word,Excel,PowerPoint,Project,Publisher,Access和Visio)时,此功能可提高效率。...Kutools for Excel简介Kutools for Excel是一个便捷的Excel加载项,具有300多种高级功能,可将各种复杂的任务简化为在Excel中的几次单击。...(标题)以及收集字幕,放置参考和删除错误参考的工具的集合等功能和栏目03、超链接组超链接组包含超链接管理器、创建(多个超链接)、(插入)超链接、删除(超链接)、复制超链接等功能04、表组表组包含删除行/...自动转发 功能在创建规则时提供“与”和“或”关系,而 Outlook 不支持“与”关系。
本文作者:myh0st参考项目:https://github.com/infosecn1nja/Red-Teaming-Toolkit ?...红队在攻击企业时,通过外围的业务系统比较难以进入内网,往往外围的业务系统不是在云上就是在 DMZ 区,在获得业务系统权限的时候也不一定能进入到办公网络,再加上 CDN 和 Waf 这种东西的存在,通过...https://github.com/nccgroup/demiguise Office-DDE-Payloads 这个项目可以生成嵌入 DDE 的 word 和 excel 的模版,可以在进行钓鱼攻击的时候使用...https://github.com/0xdeadbeefJERKY/Office-DDE-Payloads CACTUSTORCH 这是一个 JavaScript 和 VBScript 的加载器,可以生成一个被注入了...https://github.com/cobbr/PSAmsi Reflective DLL injection 这个反射 DLL 注入是采用反射编程的思想将 DLL 注入到指定的进程中,我们可以将 payload
,文件被加密等等 当前Microsoft Office的宏是使用Visual Basic for Applications(VBA)编写的,是Microsoft流行的Visual Basic编程语言的一种变体专门为...Office建的 VBA可在大多数Office程序中使用,例如Access,Excel,Outlook,PowerPoint,Project,Publisher,Visio和Word等等。...Microsoft Office因为使用人数多,Microsoft声称有12亿用户哈哈哈可能也是经常被攻击的原因吧 宏病毒通过修改(* .DOC)和NORMAL.DOT模板来感染Microsoft Office...比如说将样式和格式应用于文本,或者与数据源进行通信,甚至单击即可创建全新的文档 0x01 如何工作 宏病毒的工作原理是假装以看似正常的方式执行操作,有些文档嵌入文档中并在打开文档时自动运行。...它通常会尝试感染更多的计算机 宏病毒可以破坏数据,创建新文件,移动文本,格式化硬盘驱动器,发送文件和插入图片,有时候会出现缺少菜单项或者是出现密码,如果有这些情况就要考虑是不是宏病毒引发的 如果操作某些感染了宏病毒的文件
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
