前言

windows电脑中大多数都安装了office三件套，利用其进行权限维持一般效果会不错。

利用过程

下载powershell脚本到本地。利用脚本下载地址
如果是32位的office则需要对脚本进行一点修改，将正确的路径填入其中，如下图，我更改的是对word做后门对时候的路径：

然后生成32位的dll文件，并将其转化为base64编码形式，将值放在calcwllx86中即可。然后将这个powershell文件放到受害者电脑上执行命令WordWLL即可生成后门。32位的office用32位的后门，64位的office用64位的后门。

这时候打开word即可得到返回的shell：

不过受害者机器的word会永远无法开启：

且当用户重启机器后再次打开word的时候，会有一个弹窗问用户要不要禁用加载项，一般情况下用户都会点禁用，这时候我们这个后门就没有用了。也就是说这基本是个一次性的后门。

也可以将dll文件后缀修改为.wll然后放到对应目录下，效果跟利用powershell脚本是一样的。
对应目录为：

word:C:\Users\test\AppData\Roaming\Microsoft\Word

不过还是建议使用脚本，更方便。

防御方法

禁用所有的加载项。

参考文章

Use Office to maintain persistence
Office Persistence on x64 operating system
利用脚本下载地址