Phishing Files & Documents
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Microsoft Word vrši validaciju podataka datoteke pre otvaranja datoteke. Validacija podataka se vrši u obliku identifikacije strukture podataka, prema OfficeOpenXML standardu. Ako dođe do bilo kakve greške tokom identifikacije strukture podataka, datoteka koja se analizira neće biti otvorena.
Obično, Word datoteke koje sadrže makroe koriste ekstenziju .docm
. Međutim, moguće je preimenovati datoteku promenom ekstenzije datoteke i i dalje zadržati sposobnosti izvršavanja makroa.
Na primer, RTF datoteka ne podržava makroe, po dizajnu, ali DOCM datoteka preimenovana u RTF biće obrađena od strane Microsoft Word-a i biće sposobna za izvršavanje makroa.
Iste unutrašnje funkcije i mehanizmi se primenjuju na sve softvere iz Microsoft Office Suite (Excel, PowerPoint itd.).
Možete koristiti sledeću komandu da proverite koje ekstenzije će biti izvršene od strane nekih Office programa:
DOCX datoteke koje se pozivaju na udaljeni šablon (Datoteka – Opcije – Dodaci – Upravljanje: Šabloni – Idi) koji uključuje makroe mogu takođe “izvršavati” makroe.
Idite na: Umetni --> Brzi delovi --> Polje Kategorije: Linkovi i reference, Nazivi polja: includePicture, i Naziv datoteke ili URL: http://<ip>/whatever
Moguće je koristiti makroe za pokretanje proizvoljnog koda iz dokumenta.
Što su češće, to je verovatnije da će ih AV otkriti.
AutoOpen()
Document_Open()
Idite na File > Info > Inspect Document > Inspect Document, što će otvoriti Document Inspector. Kliknite na Inspect i zatim Remove All pored Document Properties and Personal Information.
Kada završite, odaberite Save as type padajući meni, promenite format sa .docx
na Word 97-2003 .doc
.
Uradite to jer ne možete sačuvati makroe unutar .docx
i postoji stigma oko makro-omogućene .docm
ekstenzije (npr. ikona sličice ima ogromno !
i neki web/email prolazi ih potpuno blokiraju). Stoga, ova legacy .doc
ekstenzija je najbolje rešenje.
MacOS
HTA je Windows program koji kombinuje HTML i skriptne jezike (kao što su VBScript i JScript). Generiše korisnički interfejs i izvršava se kao "potpuno poverljiva" aplikacija, bez ograničenja sigurnosnog modela pretraživača.
HTA se izvršava koristeći mshta.exe
, koji je obično instaliran zajedno sa Internet Explorer, čineći mshta
zavisnim od IE. Dakle, ako je deinstaliran, HTA-ovi neće moći da se izvrše.
Postoji nekoliko načina da se prisilite NTLM autentifikaciju "na daljinu", na primer, možete dodati nevidljive slike u e-mailove ili HTML koje će korisnik otvoriti (čak i HTTP MitM?). Ili pošaljite žrtvi adresu fajlova koji će pokrenuti autentifikaciju samo za otvaranje fascikle.
Proverite ove ideje i još više na sledećim stranicama:
Force NTLM Privileged AuthenticationPlaces to steal NTLM credsNe zaboravite da ne možete samo ukrasti hash ili autentifikaciju, već i izvršiti NTLM preusmeravanje napade:
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)