Phishing Files & Documents
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Microsoft Word esegue la convalida dei dati del file prima di aprirlo. La convalida dei dati viene eseguita sotto forma di identificazione della struttura dei dati, rispetto allo standard OfficeOpenXML. Se si verifica un errore durante l'identificazione della struttura dei dati, il file in analisi non verrà aperto.
Di solito, i file Word contenenti macro utilizzano l'estensione .docm
. Tuttavia, è possibile rinominare il file cambiando l'estensione e mantenere comunque le capacità di esecuzione delle macro.
Ad esempio, un file RTF non supporta le macro, per design, ma un file DOCM rinominato in RTF sarà gestito da Microsoft Word e sarà in grado di eseguire macro.
Gli stessi interni e meccanismi si applicano a tutto il software della Microsoft Office Suite (Excel, PowerPoint, ecc.).
Puoi utilizzare il seguente comando per controllare quali estensioni verranno eseguite da alcuni programmi Office:
DOCX files referencing a remote template (File –Options –Add-ins –Manage: Templates –Go) that includes macros can “execute” macros as well.
Vai a: Inserisci --> Parti Veloci --> Campo Categorie: Collegamenti e Riferimenti, Nomi dei file: includePicture, e Nome file o URL: http://<ip>/whatever
È possibile utilizzare le macro per eseguire codice arbitrario dal documento.
Più sono comuni, più è probabile che l'AV le rilevi.
AutoOpen()
Document_Open()
Vai su File > Info > Ispeziona documento > Ispeziona documento, che aprirà l'Ispezione documento. Clicca su Ispeziona e poi su Rimuovi tutto accanto a Proprietà del documento e informazioni personali.
Quando hai finito, seleziona il menu a discesa Salva come tipo, cambia il formato da .docx
a Word 97-2003 .doc
.
Fallo perché non puoi salvare macro all'interno di un .docx
e c'è uno stigma attorno all'estensione abilitata per le macro .docm
(ad esempio, l'icona della miniatura ha un enorme !
e alcuni gateway web/email le bloccano completamente). Pertanto, questa estensione legacy .doc
è il miglior compromesso.
MacOS
Un HTA è un programma Windows che combina HTML e linguaggi di scripting (come VBScript e JScript). Genera l'interfaccia utente ed esegue come un'applicazione "completamente fidata", senza i vincoli del modello di sicurezza di un browser.
Un HTA viene eseguito utilizzando mshta.exe
, che è tipicamente installato insieme a Internet Explorer, rendendo mshta
dipendente da IE. Quindi, se è stato disinstallato, gli HTA non saranno in grado di essere eseguiti.
Ci sono diversi modi per forzare l'autenticazione NTLM "da remoto", ad esempio, potresti aggiungere immagini invisibili a email o HTML che l'utente accederà (anche HTTP MitM?). Oppure inviare alla vittima l'indirizzo di file che attiveranno un'autenticazione solo per aprire la cartella.
Controlla queste idee e altro nelle pagine seguenti:
Non dimenticare che non puoi solo rubare l'hash o l'autenticazione ma anche eseguire attacchi di relay NTLM:
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)