Phishing Files & Documents
Last updated
Last updated
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Microsoft Word führt eine Datenvalidierung der Datei durch, bevor eine Datei geöffnet wird. Die Datenvalidierung erfolgt in Form der Identifizierung der Datenstruktur, gemäß dem OfficeOpenXML-Standard. Wenn während der Identifizierung der Datenstruktur ein Fehler auftritt, wird die analysierte Datei nicht geöffnet.
In der Regel verwenden Word-Dateien, die Makros enthalten, die Erweiterung .docm
. Es ist jedoch möglich, die Datei umzubenennen, indem man die Dateierweiterung ändert und dennoch die Fähigkeit zur Ausführung von Makros beibehält.
Zum Beispiel unterstützt eine RTF-Datei aus Designgründen keine Makros, aber eine in RTF umbenannte DOCM-Datei wird von Microsoft Word verarbeitet und kann Makros ausführen.
Die gleichen internen Abläufe und Mechanismen gelten für alle Software der Microsoft Office Suite (Excel, PowerPoint usw.).
Du kannst den folgenden Befehl verwenden, um zu überprüfen, welche Erweiterungen von einigen Office-Programmen ausgeführt werden:
DOCX-Dateien, die auf eine entfernte Vorlage verweisen (Datei – Optionen – Add-Ins – Verwalten: Vorlagen – Gehe zu), können ebenfalls „Makros“ ausführen.
Gehe zu: Einfügen --> Schnelle Teile --> Feld &#xNAN;Kategorien: Links und Verweise, Feldnamen: includePicture, und Dateiname oder URL: http://<ip>/whatever
Es ist möglich, Makros zu verwenden, um beliebigen Code aus dem Dokument auszuführen.
Je häufiger sie sind, desto wahrscheinlicher wird sie die AV erkennen.
AutoOpen()
Document_Open()
Gehe zu Datei > Informationen > Dokument überprüfen > Dokument überprüfen, was den Dokumentinspektor öffnet. Klicke auf Überprüfen und dann auf Alle entfernen neben Dokumenteigenschaften und persönliche Informationen.
Wenn du fertig bist, wähle im Dropdown Speichern unter das Format von .docx
auf Word 97-2003 .doc
zu ändern.
Mach das, weil du keine Makros in einer .docx
speichern kannst und es ein Stigma um die makroaktivierte .docm
Erweiterung gibt (z.B. hat das Miniaturansichts-Icon ein riesiges !
und einige Web-/E-Mail-Gateways blockieren sie vollständig). Daher ist diese Legacy .doc
-Erweiterung der beste Kompromiss.
MacOS
Eine HTA ist ein Windows-Programm, das HTML und Skriptsprachen (wie VBScript und JScript) kombiniert. Es generiert die Benutzeroberfläche und wird als "vollständig vertrauenswürdige" Anwendung ausgeführt, ohne die Einschränkungen des Sicherheitsmodells eines Browsers.
Eine HTA wird mit mshta.exe
ausgeführt, das typischerweise zusammen mit Internet Explorer installiert wird, wodurch mshta
von IE abhängig ist. Wenn es deinstalliert wurde, können HTAs nicht ausgeführt werden.
Es gibt mehrere Möglichkeiten, NTLM-Authentifizierung "aus der Ferne" zu erzwingen, zum Beispiel könnten Sie unsichtbare Bilder in E-Mails oder HTML hinzufügen, auf die der Benutzer zugreifen wird (sogar HTTP MitM?). Oder senden Sie dem Opfer die Adresse von Dateien, die eine Authentifizierung nur durch Öffnen des Ordners auslösen werden.
Überprüfen Sie diese Ideen und mehr auf den folgenden Seiten:
Force NTLM Privileged AuthenticationPlaces to steal NTLM credsVergessen Sie nicht, dass Sie nicht nur den Hash oder die Authentifizierung stehlen, sondern auch NTLM-Relay-Angriffe durchführen können:
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)