Phishing Files & Documents

从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS红队专家)

办公文档

Microsoft Word在打开文件之前执行文件数据验证。数据验证以数据结构识别的形式进行,针对OfficeOpenXML标准。如果在数据结构识别过程中发生任何错误,正在分析的文件将不会被打开。

通常,包含宏的Word文件使用.docm扩展名。但是,可以通过更改文件扩展名来重命名文件,并仍然保留其执行宏的功能。 例如,RTF文件不支持宏,但将DOCm文件重命名为RTF将由Microsoft Word处理,并具有执行宏的能力。 相同的内部机制适用于Microsoft Office套件中的所有软件(Excel、PowerPoint等)。

您可以使用以下命令检查哪些扩展名将由某些Office程序执行:

assoc | findstr /i "word excel powerp"

外部图片加载

前往:插入 --> 快速部件 --> 字段 类别:链接和引用,字段名称:includePicture,并文件名或URL http://<ip>/whatever

宏后门

可以使用宏从文档中运行任意代码。

自动加载函数

它们越常见,杀毒软件检测到的可能性就越大。

  • AutoOpen()

  • Document_Open()

宏代码示例

手动删除元数据

转到 文件 > 信息 > 检查文档 > 检查文档,这将打开文档检查器。单击 检查,然后单击 文档属性和个人信息 旁边的 全部删除

文档扩展名

完成后,选择 另存为类型 下拉菜单,将格式从 .docx 更改为 Word 97-2003 .doc。 这样做是因为你 无法将宏保存在 .docx,而且对于启用宏的 .docm 扩展名存在 污名(例如,缩略图图标上有一个巨大的 !,一些网络/电子邮件网关会完全阻止它们)。因此,这个 传统的 .doc 扩展名是最好的折衷方案

恶意宏生成器

HTA 文件

HTA 是一个 结合了 HTML 和脚本语言(如 VBScript 和 JScript) 的 Windows 程序。它生成用户界面并作为一个“完全受信任”的应用程序执行,没有浏览器安全模型的限制。

HTA 使用 mshta.exe 执行,通常 与 Internet Explorer 一起安装,使 mshta 依赖于 IE。因此,如果 IE 被卸载,HTA 将无法执行。

强制 NTLM 认证

有几种远程强制 NTLM 认证的方法,例如,您可以向电子邮件或 HTML 添加不可见图像,用户将访问这些图像(甚至可能是 HTTP 中间人攻击?)。或者向受害者发送文件地址,只需打开文件夹就会触发认证。

在以下页面中查看这些想法和更多内容:

Force NTLM Privileged AuthenticationPlaces to steal NTLM creds

NTLM 中继

不要忘记,您不仅可以窃取哈希或认证,还可以执行 NTLM 中继攻击

从零开始学习 AWS 黑客技术,成为专家 htARTE(HackTricks AWS 红队专家)
上一页Detecting Phishing下一页Basic Forensic Methodology

最后更新于