Phishing Files & Documents
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Microsoft Word inafanya uthibitisho wa data za faili kabla ya kufungua faili. Uthibitisho wa data unafanywa kwa njia ya utambuzi wa muundo wa data, dhidi ya kiwango cha OfficeOpenXML. Ikiwa hitilafu yoyote itatokea wakati wa utambuzi wa muundo wa data, faili inayochambuliwa haitafunguliwa.
Kawaida, faili za Word zinazokuwa na macros hutumia kiambishi cha .docm
. Hata hivyo, inawezekana kubadilisha jina la faili kwa kubadilisha kiambishi cha faili na bado kuweka uwezo wao wa kutekeleza macros.
Kwa mfano, faili ya RTF haisaidii macros, kwa muundo, lakini faili ya DOCM iliyobadilishwa jina kuwa RTF itashughulikiwa na Microsoft Word na itakuwa na uwezo wa kutekeleza macros.
Mifumo na mitambo sawa inatumika kwa programu zote za Microsoft Office Suite (Excel, PowerPoint n.k.).
Unaweza kutumia amri ifuatayo kuangalia ni kiambishi gani kitakachotekelezwa na baadhi ya programu za Office:
DOCX files referencing a remote template (File –Options –Add-ins –Manage: Templates –Go) that includes macros can “execute” macros as well.
Go to: Insert --> Quick Parts --> Field &#xNAN;Categories: Links and References, Filed names: includePicture, and Filename or URL: http://<ip>/whatever
Ni uwezekano kutumia macros kuendesha msimbo wa kawaida kutoka kwenye hati.
Kadri zinavyokuwa maarufu, ndivyo uwezekano wa AV kuzitambua unavyoongezeka.
AutoOpen()
Document_Open()
Nenda kwenye File > Info > Inspect Document > Inspect Document, ambayo itafungua Document Inspector. Bonyeza Inspect kisha Remove All kando ya Document Properties and Personal Information.
Unapomaliza, chagua Save as type dropdown, badilisha muundo kutoka .docx
hadi Word 97-2003 .doc
.
Fanya hivi kwa sababu huwezi kuhifadhi macro's ndani ya .docx
na kuna stigma kuhusu muundo wa macro-enabled .docm
(kwa mfano, ikoni ya thumbnail ina !
kubwa na baadhi ya lango la wavuti/barua pepe linaweza kuzuia kabisa). Hivyo, muundo huu wa zamani wa .doc
ni suluhisho bora.
MacOS
HTA ni programu ya Windows ambayo inaunganisha HTML na lugha za skripti (kama VBScript na JScript). Inaunda kiolesura cha mtumiaji na inatekelezwa kama programu "iliyokubaliwa kikamilifu", bila vizuizi vya mfano wa usalama wa kivinjari.
HTA inatekelezwa kwa kutumia mshta.exe
, ambayo kwa kawaida imewekwa pamoja na Internet Explorer, ikifanya mshta
kuwa tegemezi la IE. Hivyo ikiwa imeondolewa, HTAs hazitaweza kutekelezwa.
Kuna njia kadhaa za kulazimisha uthibitisho wa NTLM "kijijini", kwa mfano, unaweza kuongeza picha zisizoonekana kwenye barua pepe au HTML ambayo mtumiaji atafikia (hata HTTP MitM?). Au tuma mwathirika anwani ya faili ambazo zitazindua uthibitisho tu kwa kufungua folda.
Angalia mawazo haya na mengine kwenye kurasa zifuatazo:
Usisahau kwamba huwezi tu kuiba hash au uthibitisho bali pia fanya mashambulizi ya NTLM relay:
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)