這篇文章將為大家詳細(xì)講解有關(guān)如何進(jìn)行Microsoft Access Macro MAM的快捷方式釣魚測試，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個參考，希望大家閱讀完這篇文章后對相關(guān)知識有一定的了解。

創(chuàng)新互聯(lián)是一家專業(yè)提供布爾津企業(yè)網(wǎng)站建設(shè),專注與成都網(wǎng)站設(shè)計、網(wǎng)站建設(shè)、html5、小程序制作等業(yè)務(wù)。10年已為布爾津眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)網(wǎng)站建設(shè)公司優(yōu)惠進(jìn)行中。

下面將為大家引入一種新的釣魚方案Microsoft Access Macro“MAM”快捷方式釣魚。MAM文件是一個直接鏈接到Microsoft Access Macro的快捷方式（從Office 97開始）。

創(chuàng)建一個MAM文件

我們先來創(chuàng)建一個可以彈出本地計算機(jī)的，簡單Microsoft Access數(shù)據(jù)庫來練練手。首先，我們打開MS Access并創(chuàng)建一個空數(shù)據(jù)庫。如下：

接著，找到Create ribbon并選擇Module。這將為我們打開Microsoft Visual Basic for Applications design editor。

在Microsoft Access中，我們的module將包含我們的代碼庫，而macro將會使Access執(zhí)行VB代碼。

以下是我編寫的一個簡單的計算機(jī)彈出代碼：

請注意這里我是如何將Function調(diào)用添加到此代碼中的。當(dāng)我們創(chuàng)建宏時，它將尋找function調(diào)用而不是sub。

現(xiàn)在，我們保存模塊并退出代碼編輯器。

模塊保存后，我們可以創(chuàng)建宏來調(diào)用模塊。打開Create ribbon并選擇“macro”。 使用下拉框選擇“Run Code”并指向你的宏函數(shù)。

接下來，我們點(diǎn)擊“Run”菜單選項來測試宏，Access將提示你保存宏。如果你希望在打開文檔時自動運(yùn)行宏，請務(wù)必將宏保存為Autoexec。

保存項目，我們以.accdb格式保存，以便后續(xù)對該項目的修改操作。

然后，我們將再次保存我們的項目。這一次，我們選擇Make ACCDE選項。這將為我們創(chuàng)建數(shù)據(jù)庫的“execute only”版本。

我們可以將ACCDE作為釣魚時的payload添加至郵件或鏈接當(dāng)中。我們可以創(chuàng)建MAM快捷方式，它將遠(yuǎn)程鏈接到我們的ACCDE文件并通過網(wǎng)絡(luò)運(yùn)行其中的內(nèi)容。

確保ACCDE文件已打開，單擊鼠標(biāo)左鍵并將宏拖到桌面上。這將為我們創(chuàng)建一個可以修改的初始.MAM文件。用你喜歡的編輯器或記事本打開它，看看我們有什么需要修改的地方。

正如你所看到的，快捷方式的屬性并不多。唯一需要我們更改的就是DatabasePath變量，指定我們遠(yuǎn)程托管地址路徑。我們可以通過SMB或Web托管ACCDE文件。通過SMB托管可以實現(xiàn)雙重目的，捕獲憑據(jù)以及允許端口445離開目標(biāo)網(wǎng)絡(luò)。在本文中，我將通過http演示如何做到這一點(diǎn)。

釣魚

在遠(yuǎn)程主機(jī)上，使用首選的Web托管方法提供ACCDE文件。

編輯.MAM文件以指向Web服務(wù)器上托管的ACCDE文件。

現(xiàn)在我們的任務(wù)是將MAM payload傳送給我們的目標(biāo)。一些提供商默認(rèn)阻止MAM文件和Outlook，因此在這種情況下，我們會向目標(biāo)發(fā)送釣魚鏈接，并且只會在我們的web服務(wù)器上托管我們的MAM文件，或者你也可以使用Apache mod_rewrite進(jìn)行一些重定向操作，詳細(xì)說明請點(diǎn)擊這里。

一旦目標(biāo)用戶點(diǎn)擊了我們的釣魚鏈接（在使用Edge瀏覽器的情況下），系統(tǒng)將會提示他們打開或保存文件。

接著，系統(tǒng)會再次向用戶彈出安全警告提示框。

最后，系統(tǒng)還會警告一次，并將向用戶顯示遠(yuǎn)程托管主機(jī)的IP或域名（希望會有說服力）。而在此之后將不會出現(xiàn)任何的安全警告，以及阻止此macro payload運(yùn)行的情況。

用戶單擊“ Open”后，我們的代碼就會被執(zhí)行。

雖然這當(dāng)中出現(xiàn)了好幾次的安全提示，但對于毫無戒心的不知情用戶而言，也很容易成功。此外，我們還可以結(jié)合一些社會工程學(xué)的技巧，以達(dá)到我們的最終目的。

OPSEC

在滲透測試的收尾階段，我們不能忘的一件事就是擦干凈可能遺留在目標(biāo)系統(tǒng)上的痕跡。那么針對我們的這個payload在系統(tǒng)執(zhí)行后，又會留下些什么蛛絲馬跡呢？讓我們通過procmon一探究竟。

第一個值得我們注意的條目是“CreateFile”調(diào)用，它執(zhí)行上圖所示命令。查找用于命令行審計的“ShellOpenMacro”字符串。

接下來，我們來觀察下從本地計算機(jī)保存并被執(zhí)行的遠(yuǎn)程ACCDE文件。雖然看起來好像我們的payload是遠(yuǎn)程調(diào)用的，但它卻被下載到了“%APPDATA%\Local\Microsoft\Windows\INetCache\Content.MSO\95E62AFE.accde\PopCalc.accde”中。因此，一定要格外注意對該文件的清理。

緩解措施

在Microsoft Office 2016中，你可以啟用GPO以阻止來自網(wǎng)絡(luò)中的宏執(zhí)行或為每個辦公產(chǎn)品設(shè)置以下注冊表項。

Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Access\Security\blockcontentexecutionfrominternet = 1

如果用戶進(jìn)行了此項設(shè)置后，釣魚程序?qū)痪芙^執(zhí)行。需要注意的是，即使宏被阻止了，MAM文件仍會向外pull down Access文件。所以，目標(biāo)用戶仍將會知道你是通過smb接收執(zhí)行或竊取憑據(jù)的。

關(guān)于如何進(jìn)行Microsoft Access Macro MAM的快捷方式釣魚測試就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學(xué)到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。