Phishing Files & Documents
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Microsoft Word wykonuje walidację danych pliku przed jego otwarciem. Walidacja danych jest przeprowadzana w formie identyfikacji struktury danych, zgodnie ze standardem OfficeOpenXML. Jeśli wystąpi błąd podczas identyfikacji struktury danych, analizowany plik nie zostanie otwarty.
Zazwyczaj pliki Word zawierające makra używają rozszerzenia .docm
. Jednak możliwe jest zmienienie nazwy pliku poprzez zmianę rozszerzenia pliku i nadal zachowanie możliwości wykonywania makr.
Na przykład, plik RTF nie obsługuje makr, z założenia, ale plik DOCM zmieniony na RTF będzie obsługiwany przez Microsoft Word i będzie zdolny do wykonywania makr.
Te same wewnętrzne mechanizmy mają zastosowanie do całego oprogramowania z pakietu Microsoft Office (Excel, PowerPoint itp.).
Możesz użyć następującego polecenia, aby sprawdzić, które rozszerzenia będą wykonywane przez niektóre programy Office:
DOCX pliki odwołujące się do zdalnego szablonu (Plik – Opcje – Dodatki – Zarządzaj: Szablony – Przejdź) które zawierają makra mogą również „wykonywać” makra.
Przejdź do: Wstaw --> Szybkie części --> Pole &#xNAN;Kategorie: Linki i odniesienia, Nazwy pól: includePicture, oraz Nazwa pliku lub URL: http://<ip>/whatever
Możliwe jest użycie makr do uruchamiania dowolnego kodu z dokumentu.
Im bardziej powszechne, tym bardziej prawdopodobne, że AV je wykryje.
AutoOpen()
Document_Open()
Przejdź do Plik > Informacje > Sprawdź dokument > Sprawdź dokument, co uruchomi Inspektora dokumentów. Kliknij Sprawdź, a następnie Usuń wszystko obok Właściwości dokumentu i informacje osobiste.
Po zakończeniu wybierz rozwijane menu Zapisz jako typ, zmień format z .docx
na Word 97-2003 .doc
.
Zrób to, ponieważ nie możesz zapisać makr w .docx
i istnieje stygmatyzacja wokół rozszerzenia makro-włączonego .docm
(np. ikona miniatury ma ogromne !
, a niektóre bramy internetowe/e-mailowe całkowicie je blokują). Dlatego to dziedziczne rozszerzenie .doc
jest najlepszym kompromisem.
MacOS
HTA to program Windows, który łączy HTML i języki skryptowe (takie jak VBScript i JScript). Generuje interfejs użytkownika i działa jako "w pełni zaufana" aplikacja, bez ograniczeń modelu bezpieczeństwa przeglądarki.
HTA jest uruchamiane za pomocą mshta.exe
, które jest zazwyczaj instalowane razem z Internet Explorer, co sprawia, że mshta
jest zależne od IE. Jeśli zostało odinstalowane, HTA nie będą mogły się uruchomić.
Istnieje kilka sposobów na wymuszenie uwierzytelniania NTLM "zdalnie", na przykład, możesz dodać niewidoczne obrazy do e-maili lub HTML, które użytkownik otworzy (nawet HTTP MitM?). Lub wysłać ofierze adres plików, które wywołają uwierzytelnienie tylko przy otwieraniu folderu.
Sprawdź te pomysły i więcej na następujących stronach:
Force NTLM Privileged AuthenticationPlaces to steal NTLM credsNie zapomnij, że nie tylko możesz ukraść hash lub uwierzytelnienie, ale także przeprowadzać ataki przekazywania NTLM:
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)