Phishing Files & Documents
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Το Microsoft Word εκτελεί επικύρωση δεδομένων αρχείου πριν ανοίξει ένα αρχείο. Η επικύρωση δεδομένων εκτελείται με τη μορφή αναγνώρισης δομής δεδομένων, σύμφωνα με το πρότυπο OfficeOpenXML. Εάν προκύψει οποιοδήποτε σφάλμα κατά την αναγνώριση της δομής δεδομένων, το αρχείο που αναλύεται δεν θα ανοίξει.
Συνήθως, τα αρχεία Word που περιέχουν μακροεντολές χρησιμοποιούν την επέκταση .docm
. Ωστόσο, είναι δυνατόν να μετονομάσετε το αρχείο αλλάζοντας την επέκταση του αρχείου και να διατηρήσετε τις δυνατότητες εκτέλεσης μακροεντολών.
Για παράδειγμα, ένα αρχείο RTF δεν υποστηρίζει μακροεντολές, σχεδιαστικά, αλλά ένα αρχείο DOCM που μετονομάζεται σε RTF θα διαχειρίζεται από το Microsoft Word και θα είναι ικανό για εκτέλεση μακροεντολών.
Οι ίδιες εσωτερικές διαδικασίες και μηχανισμοί ισχύουν για όλα τα λογισμικά της σουίτας Microsoft Office (Excel, PowerPoint κ.λπ.).
Μπορείτε να χρησιμοποιήσετε την παρακάτω εντολή για να ελέγξετε ποιες επεκτάσεις θα εκτελούνται από ορισμένα προγράμματα Office:
DOCX αρχεία που αναφέρονται σε ένα απομακρυσμένο πρότυπο (Αρχείο – Επιλογές – Προσθήκες – Διαχείριση: Πρότυπα – Μετάβαση) που περιλαμβάνει μακροεντολές μπορούν επίσης να “εκτελούν” μακροεντολές.
Μεταβείτε: Εισαγωγή --> Γρήγορα Μέρη --> Πεδίο &#xNAN;Κατηγορίες: Σύνδεσμοι και Αναφορές, Ονόματα πεδίων: includePicture, και Όνομα αρχείου ή URL: http://<ip>/whatever
Είναι δυνατόν να χρησιμοποιηθούν μακροεντολές για να εκτελούν αυθαίρετο κώδικα από το έγγραφο.
Όσο πιο κοινές είναι, τόσο πιο πιθανό είναι να τις ανιχνεύσει το AV.
AutoOpen()
Document_Open()
Πηγαίνετε στο File > Info > Inspect Document > Inspect Document, το οποίο θα φέρει τον Εξεταστή Εγγράφων. Κάντε κλικ στο Inspect και στη συνέχεια στο Remove All δίπλα από Document Properties and Personal Information.
Όταν τελειώσετε, επιλέξτε το αναπτυσσόμενο μενού Save as type, αλλάξτε τη μορφή από .docx
σε Word 97-2003 .doc
.
Κάντε το αυτό γιατί δεν μπορείτε να αποθηκεύσετε μακροεντολές μέσα σε ένα .docx
και υπάρχει ένα στίγμα γύρω από την επέκταση με δυνατότητα μακροεντολών .docm
(π.χ. το εικονίδιο μικρογραφίας έχει ένα τεράστιο !
και ορισμένες πύλες ιστού/ηλεκτρονικού ταχυδρομείου τις αποκλείουν εντελώς). Επομένως, αυτή η παλαιά επέκταση .doc
είναι η καλύτερη συμβιβαστική λύση.
MacOS
Ένα HTA είναι ένα πρόγραμμα Windows που συνδυάζει HTML και γλώσσες scripting (όπως VBScript και JScript). Δημιουργεί τη διεπαφή χρήστη και εκτελείται ως "πλήρως αξιόπιστη" εφαρμογή, χωρίς τους περιορισμούς του μοντέλου ασφάλειας ενός προγράμματος περιήγησης.
Ένα HTA εκτελείται χρησιμοποιώντας mshta.exe
, το οποίο συνήθως εγκαθίσταται μαζί με Internet Explorer, καθιστώντας το mshta
εξαρτώμενο από το IE. Έτσι, αν έχει απεγκατασταθεί, τα HTA δεν θα μπορούν να εκτελούνται.
Υπάρχουν αρκετοί τρόποι για να αναγκάσετε την NTLM αυθεντικοποίηση "απομακρυσμένα", για παράδειγμα, θα μπορούσατε να προσθέσετε αόρατες εικόνες σε emails ή HTML που θα έχει πρόσβαση ο χρήστης (ακόμα και HTTP MitM;). Ή να στείλετε το θύμα τη διεύθυνση αρχείων που θα ενεργοποιήσουν μια αυθεντικοποίηση μόνο για άνοιγμα του φακέλου.
Ελέγξτε αυτές τις ιδέες και περισσότερες στις επόμενες σελίδες:
Force NTLM Privileged AuthenticationPlaces to steal NTLM credsΜην ξεχνάτε ότι δεν μπορείτε μόνο να κλέψετε το hash ή την αυθεντικοποίηση αλλά και να εκτελέσετε επιθέσεις NTLM relay:
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)