Phishing Files & Documents
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Microsoft Word виконує валідацію даних файлу перед його відкриттям. Валідація даних виконується у формі ідентифікації структури даних відповідно до стандарту OfficeOpenXML. Якщо під час ідентифікації структури даних виникає помилка, файл, що аналізується, не буде відкрито.
Зазвичай файли Word, що містять макроси, використовують розширення .docm
. Однак можливо перейменувати файл, змінивши розширення файлу, і все ще зберегти їх можливості виконання макросів.
Наприклад, файл RTF за замовчуванням не підтримує макроси, але файл DOCM, перейменований в RTF, буде оброблений Microsoft Word і зможе виконувати макроси.
Ті ж внутрішні механізми застосовуються до всього програмного забезпечення Microsoft Office Suite (Excel, PowerPoint тощо).
Ви можете використовувати наступну команду, щоб перевірити, які розширення будуть виконані деякими програмами Office:
DOCX файли, що посилаються на віддалений шаблон (Файл – Параметри – Додатки – Керувати: Шаблони – Перейти), які містять макроси, також можуть "виконувати" макроси.
Перейдіть до: Вставка --> Швидкі елементи --> Поле Категорії: Посилання та довідки, Імена полів: includePicture, та Ім'я файлу або URL: http://<ip>/whatever
Можливо використовувати макроси для виконання довільного коду з документа.
Чим поширеніші вони, тим більше ймовірність, що антивірус їх виявить.
AutoOpen()
Document_Open()
Перейдіть до File > Info > Inspect Document > Inspect Document, що відкриє Document Inspector. Натисніть Inspect, а потім Remove All поруч із Document Properties and Personal Information.
Коли закінчите, виберіть випадаюче меню Save as type, змініть формат з .docx
на Word 97-2003 .doc
.
Зробіть це, тому що ви не можете зберегти макроси всередині .docx
і є стигма навколо розширення, що підтримує макроси .docm
(наприклад, значок ескізу має величезний !
, і деякі веб/електронні шлюзи блокують їх повністю). Тому це спадкове розширення .doc
є найкращим компромісом.
MacOS
HTA - це програма Windows, яка поєднує HTML та мови сценаріїв (такі як VBScript та JScript). Вона генерує інтерфейс користувача та виконується як "повністю довірена" програма, без обмежень моделі безпеки браузера.
HTA виконується за допомогою mshta.exe
, який зазвичай встановлюється разом з Internet Explorer, що робить mshta
залежним від IE. Тому, якщо він був видалений, HTA не зможуть виконуватися.
Існує кілька способів примусити NTLM аутентифікацію "віддалено", наприклад, ви можете додати невидимі зображення до електронних листів або HTML, до яких отримувач отримуватиме доступ (навіть HTTP MitM?). Або надіслати жертві адресу файлів, які запустять аутентифікацію лише для відкриття папки.
Перевірте ці ідеї та інші на наступних сторінках:
Не забувайте, що ви можете не лише вкрасти хеш або аутентифікацію, але й виконувати атаки реле NTLM:
Вивчайте та практикуйте Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)