Phishing Files & Documents
Last updated
Last updated
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)
Microsoft Word, bir dosyayı açmadan önce dosya veri doğrulaması yapar. Veri doğrulaması, OfficeOpenXML standardına karşı veri yapısı tanımlaması şeklinde gerçekleştirilir. Veri yapısı tanımlaması sırasında herhangi bir hata oluşursa, analiz edilen dosya açılmayacaktır.
Genellikle, makrolar içeren Word dosyaları .docm
uzantısını kullanır. Ancak, dosya uzantısını değiştirerek dosyayı yeniden adlandırmak ve makro çalıştırma yeteneklerini korumak mümkündür.
Örneğin, bir RTF dosyası tasarım gereği makroları desteklemez, ancak RTF olarak yeniden adlandırılan bir DOCM dosyası Microsoft Word tarafından işlenecek ve makro çalıştırma yeteneğine sahip olacaktır.
Aynı iç yapılar ve mekanizmalar Microsoft Office Suite'in (Excel, PowerPoint vb.) tüm yazılımlarına uygulanır.
Aşağıdaki komutu kullanarak bazı Ofis programları tarafından hangi uzantıların çalıştırılacağını kontrol edebilirsiniz:
DOCX dosyaları, makroları içeren uzaktan bir şablona atıfta bulunuyorsa (Dosya – Seçenekler – Eklentiler – Yönet: Şablonlar – Git) makroları “çalıştırabilir”.
Git: Ekle --> Hızlı Parçalar --> Alan Kategoriler: Bağlantılar ve Referanslar, Alan adları: includePicture, ve Dosya adı veya URL: http://<ip>/whatever
Makroları, belgeden rastgele kod çalıştırmak için kullanmak mümkündür.
Ne kadar yaygın olurlarsa, antivirüsün bunları tespit etme olasılığı o kadar artar.
AutoOpen()
Document_Open()
Dosya > Bilgi > Belgeyi Denetle > Belgeyi Denetle yolunu izleyin, bu Belge Denetleyicisini açacaktır. Denetle butonuna tıklayın ve ardından Belge Özellikleri ve Kişisel Bilgileri Kaldır kısmının yanındaki Tümünü Kaldır butonuna tıklayın.
İşlem tamamlandığında, Farklı Kaydet türü açılır menüsünden formatı .docx
'den Word 97-2003 .doc
'a değiştirin.
Bunu yapın çünkü .docx
içinde makro kaydedemezsiniz ve makro etkin .docm
uzantısı etrafında bir stigma vardır (örneğin, küçük resim simgesi büyük bir !
içerir ve bazı web/e-posta geçitleri bunları tamamen engeller). Bu nedenle, bu eski .doc
uzantısı en iyi uzlaşmadır.
MacOS
HTA, HTML ve betik dilleri (VBScript ve JScript gibi) birleştiren bir Windows programıdır. Kullanıcı arayüzünü oluşturur ve bir "tamamen güvenilir" uygulama olarak çalıştırılır, bir tarayıcının güvenlik modelinin kısıtlamaları olmadan.
HTA, genellikle Internet Explorer ile birlikte kurulan mshta.exe
kullanılarak çalıştırılır, bu da mshta
'nın IE'ye bağımlı olduğu anlamına gelir. Eğer kaldırılmışsa, HTA'lar çalıştırılamayacaktır.
Kullanıcının erişeceği e-postalara veya HTML'ye görünmez resimler ekleyerek, örneğin, NTLM kimlik doğrulamasını "uzaktan" zorlamanın birkaç yolu vardır (hatta HTTP MitM?). Ya da kurbanı, sadece klasörü açmak için bir kimlik doğrulaması tetikleyecek dosyaların adresiyle gönderebilirsiniz.
Bu fikirleri ve daha fazlasını aşağıdaki sayfalarda kontrol edin:
Sadece hash veya kimlik doğrulamasını çalamayacağınızı, aynı zamanda NTLM iletim saldırıları gerçekleştirebileceğinizi unutmayın:
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)