QQ love member No. 3 seed player

know it then do it && APT086&QQ愛安全实验室成员

WPS骚操作之嵌入ole对象绑定木马

15 Aug 2019 » APT攻击

[TOC]

PS: 很早之前看到某表哥发的,保存下来一直没有看,昨晚因为桌面乱想整理文件,看到了打算复现下,记录下复现步骤。

0x1 复现步骤

首先打开WPS && 找到工具栏 ——> 插入——>对象 RT:

wps1

然后找到 Package,点击显示为图片 —> 更改图标 —> 浏览

wps2

搜索 shell32.dll 文件点击打开,选择比较友好(欺骗性较强)的图标,然后更改标题 chlick me!(欺骗性较强的标题),点击确定即可。

wps3

点击浏览 (我提前将calc.exe 拷贝到了 C:\Users\ppbibo\AppData\Local\Temp)直接在搜索栏输入 %temp%回车即可。

wps4

更改卷标名称为 click me! (欺骗性较强的名称),点击完成。

wsp5

这里模拟的是一篇公司内部人员安全意识培训的文档(可根据针对性目标自定义更改)然后保存即可。

Tips:已删除 C:\Users\ppbibo\AppData\Local\Temp 下的 calc.exe 应用程序。

wps6

发送对你的目标(受害者),显示效果 RT:

wps7

总结

思路还可以,可以用于 鱼叉式网络钓鱼攻击,广撒网。