Phishing Files & Documents
Last updated
Last updated
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
Microsoft Word realiza la validación de datos de archivos antes de abrir un archivo. La validación de datos se lleva a cabo en forma de identificación de estructuras de datos, contra el estándar OfficeOpenXML. Si ocurre algún error durante la identificación de la estructura de datos, el archivo que se está analizando no se abrirá.
Por lo general, los archivos de Word que contienen macros utilizan la extensión .docm
. Sin embargo, es posible renombrar el archivo cambiando la extensión del archivo y aún así mantener sus capacidades de ejecución de macros.
Por ejemplo, un archivo RTF no admite macros, por diseño, pero un archivo DOCM renombrado a RTF será manejado por Microsoft Word y será capaz de ejecutar macros.
Los mismos internos y mecanismos se aplican a todo el software de la Suite de Microsoft Office (Excel, PowerPoint, etc.).
Puedes usar el siguiente comando para verificar qué extensiones se van a ejecutar por algunos programas de Office:
DOCX files referencing a remote template (Archivo – Opciones – Complementos – Administrar: Plantillas – Ir) that includes macros can “execute” macros as well.
Ir a: Insertar --> Partes Rápidas --> Campo &#xNAN;Categorías: Enlaces y Referencias, Nombres de campo: includePicture, y Nombre de archivo o URL: http://<ip>/whatever
Es posible usar macros para ejecutar código arbitrario desde el documento.
Cuanto más comunes sean, más probable es que el AV las detecte.
AutoOpen()
Document_Open()
Ve a Archivo > Información > Inspeccionar documento > Inspeccionar documento, lo que abrirá el Inspector de documentos. Haz clic en Inspeccionar y luego en Eliminar todo junto a Propiedades del documento e información personal.
Cuando termines, selecciona el menú desplegable Guardar como tipo, cambia el formato de .docx
a Word 97-2003 .doc
.
Haz esto porque no puedes guardar macros dentro de un .docx
y hay un estigma alrededor de la extensión habilitada para macros .docm
(por ejemplo, el ícono de miniatura tiene un gran !
y algunos gateways web/correo los bloquean por completo). Por lo tanto, esta extensión .doc
heredada es el mejor compromiso.
MacOS
Un HTA es un programa de Windows que combina HTML y lenguajes de scripting (como VBScript y JScript). Genera la interfaz de usuario y se ejecuta como una aplicación "totalmente confiable", sin las limitaciones del modelo de seguridad de un navegador.
Un HTA se ejecuta utilizando mshta.exe
, que generalmente está instalado junto con Internet Explorer, haciendo que mshta
dependa de IE. Así que si ha sido desinstalado, los HTA no podrán ejecutarse.
Hay varias formas de forzar la autenticación NTLM "remotamente", por ejemplo, podrías agregar imágenes invisibles a correos electrónicos o HTML que el usuario accederá (¿incluso HTTP MitM?). O enviar a la víctima la dirección de archivos que activarán una autenticación solo por abrir la carpeta.
Revisa estas ideas y más en las siguientes páginas:
Force NTLM Privileged AuthenticationPlaces to steal NTLM credsNo olvides que no solo puedes robar el hash o la autenticación, sino también realizar ataques de relevo NTLM:
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)