议题提交：十三豆子
信息来源：邪恶八进制信息安全团队

前一段时间,有人发过动画,利用WORD里的宏,(EXCEL也可以),执行EXE文件,后来终于找到利用程序,编译好后利用执行.
由于发不了工具,我就写在利用过程中碰到的问题,希望高手能指点一二:
首先在利用过程中,导入一个小的插进程的木马,结果执行出错,导入一个EXE木马,执行上线成功,想是不是不能执行释放DLL的木马,这是问题一(由于本人不懂编程,所以没法更深入研究)
二,想了两个办法执行DLL的木马,1是利用下载者,生成EXE,导入WORD宏,执行上线成功,2写一个下载的批处理,用FTP下载,用工具转换成EXE,这里用了三款工具,(A:bat2com,com2exe,生成后的EXE由于转成ASCII码,使得下载文件里提示用户密码出错,这里应该是转码的问题,这个我想不到好方法转码,B,用Quick Batch File (De)Compiler 2.056套装 By 狐狸少爷,生成的EXE太大,导入WORD内存溢出,郁闷.C:WINRAR自解压EXE,导入WORD执行上线成功,只是有一个缺点,会弹出DOS窗口,显示下载过程)
这些都是在本机测试,测试过程中发现,导入EXE后的WORD大小不变,于是传肉鸡执行,却发现上线不成功,另测试EXCEL,发现导入EXE后的EXCLE的文件变大,打开后显示是否执行宏,由于现在测试过程中本个的OFFICE测试出问题,没法进一步测EXCLE.
所以又提出一个问题,这个WORD宏漏洞,是不是只能在本机上运行?如果是的话,那就没有多少利用价值了,最多只能在肉鸡上作为一个后门了.
工具没法上传,有要一起讨论的,可以加我

楼上兄弟确实啊  大家来讨论一下

如果在WORD里面执行宏或者超链接到程序文件上，高版本的WORD都会提示用户是否执行操作的，这样很容易被用户怀疑的。在安全性高的机器里，宏的使用会被限制。杀毒软件也会监控宏的使用的。

在WORD执行过程中,不会提示提示用户是否执行操作,只有在EXECL中会提示是否执行宏.杀毒软件不提示.如果你要编译好的ERP,可以找我.你可以自己测试.

引用:

下面是引用kernet于06-06-2005 12:16发表的:
如果在WORD里面执行宏或者超链接到程序文件上，高版本的WORD都会提示用户是否执行操作的，这样很容易被用户怀疑的。在安全性高的机器里，宏的使用会被限制。杀毒软件也会监控宏的使用的。

确实,在OFFICE2003,WORD提示是否运行宏,EXECL每个版本都会提示(在安全为高的情况下),估计OFFICExp也差不多(手上没有XP,没测).如果没有太多的利用价值,看来,这个漏洞也没有再研究下去的必要了.
附上自己编译好的EXE,有兴趣的朋友可以看看.

经测试，那个将EXE文件转换成宏的程序有点小问题：
会导致EXE文件转换成宏，再由宏释放成EXE文件后，会比原EXE文件多出一个字节，你的插进程的程序执行有问题，可能就是这个原因吧

插进程因为出错,所以没测,测的都是下载者形式,或不插进程的马.