Phishing Files & Documents
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Microsoft Word एक फ़ाइल खोलने से पहले फ़ाइल डेटा मान्यता करता है। डेटा मान्यता डेटा संरचना पहचान के रूप में OfficeOpenXML मानक के खिलाफ की जाती है। यदि डेटा संरचना पहचान के दौरान कोई त्रुटि होती है, तो विश्लेषण की जा रही फ़ाइल नहीं खोली जाएगी।
आमतौर पर, मैक्रोज़ वाले Word फ़ाइलें .docm
एक्सटेंशन का उपयोग करती हैं। हालाँकि, फ़ाइल एक्सटेंशन बदलकर फ़ाइल का नाम बदलना संभव है और फिर भी उनके मैक्रो निष्पादन क्षमताओं को बनाए रखना संभव है।
उदाहरण के लिए, एक RTF फ़ाइल डिज़ाइन द्वारा मैक्रोज़ का समर्थन नहीं करती है, लेकिन RTF में नाम बदली गई DOCM फ़ाइल Microsoft Word द्वारा संभाली जाएगी और मैक्रो निष्पादन के लिए सक्षम होगी।
सभी Microsoft Office Suite (Excel, PowerPoint आदि) के सॉफ़्टवेयर पर समान आंतरिक और तंत्र लागू होते हैं।
आप निम्नलिखित कमांड का उपयोग यह जांचने के लिए कर सकते हैं कि कौन से एक्सटेंशन कुछ Office प्रोग्रामों द्वारा निष्पादित किए जाने वाले हैं:
DOCX फ़ाइलें एक दूरस्थ टेम्पलेट (File –Options –Add-ins –Manage: Templates –Go) का संदर्भ देते हुए जो मैक्रोज़ शामिल करती हैं, "निष्पादित" मैक्रोज़ कर सकती हैं।
जाएँ: Insert --> Quick Parts --> Field &#xNAN;श्रेणियाँ: लिंक और संदर्भ, फ़ाइल नाम: includePicture, और फ़ाइल नाम या URL: http://<ip>/whatever
यह संभव है कि मैक्रोज़ का उपयोग दस्तावेज़ से मनमाना कोड चलाने के लिए किया जाए।
जितना सामान्य होंगे, उतना ही अधिक संभावना है कि AV उन्हें पहचान लेगा।
AutoOpen()
Document_Open()
File > Info > Inspect Document > Inspect Document पर जाएं, जो Document Inspector को लाएगा। Inspect पर क्लिक करें और फिर Document Properties and Personal Information के बगल में Remove All पर क्लिक करें।
जब समाप्त हो जाए, तो Save as type ड्रॉपडाउन का चयन करें, फ़ॉर्मेट को .docx
से Word 97-2003 .doc
में बदलें।
यह करें क्योंकि आप .docx
के अंदर मैक्रो नहीं सहेज सकते हैं और .docm
एक्सटेंशन के चारों ओर एक कलंक है (जैसे, थंबनेल आइकन में एक बड़ा !
है और कुछ वेब/ईमेल गेटवे उन्हें पूरी तरह से ब्लॉक कर देते हैं)। इसलिए, यह विरासत .doc
एक्सटेंशन सबसे अच्छा समझौता है।
MacOS
HTA एक Windows प्रोग्राम है जो HTML और स्क्रिप्टिंग भाषाओं (जैसे VBScript और JScript) को संयोजित करता है। यह उपयोगकर्ता इंटरफ़ेस उत्पन्न करता है और "पूर्ण रूप से विश्वसनीय" एप्लिकेशन के रूप में निष्पादित होता है, बिना ब्राउज़र की सुरक्षा मॉडल की सीमाओं के।
HTA को mshta.exe
का उपयोग करके निष्पादित किया जाता है, जो आमतौर पर Internet Explorer के साथ स्थापित होता है, जिससे mshta
IE पर निर्भर होता है। इसलिए, यदि इसे अनइंस्टॉल कर दिया गया है, तो HTA निष्पादित नहीं हो पाएंगे।
NTLM प्रमाणीकरण "दूर से" मजबूर करने के कई तरीके हैं, उदाहरण के लिए, आप ईमेल या HTML में अदृश्य चित्र जोड़ सकते हैं जिन्हें उपयोगकर्ता एक्सेस करेगा (क्या यह HTTP MitM भी हो सकता है?)। या पीड़ित को फाइलों के पते भेजें जो केवल फोल्डर खोलने के लिए प्रमाणीकरण को प्रेरित करें।
इन विचारों और अधिक की जांच करें:
Force NTLM Privileged AuthenticationPlaces to steal NTLM credsयह न भूलें कि आप केवल हैश या प्रमाणीकरण को चुरा नहीं सकते बल्कि NTLM रिले हमले भी कर सकते हैं:
AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE) GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)