微軟 Word 是滲透測試中的一個絕佳攻擊向量。 從網路應用滲透測試到紅隊滲透, 都可通過 Word 文檔抓取 NetNTLM 雜湊或在網路中證明出口過濾不足。
有用的工具:
Brup Suite Pro(collaborator用戶端)
Inveigh
Responder (雜湊抓取)
7zip(打開文檔)
連結一個圖像要連結一個圖像, 首先打開“插入”頁簽並點擊“圖片”圖表, 隨後explorer視窗打開。 在檔案名稱欄位輸入惡意URL, 點擊“插入”下拉清單選擇“連結到檔”。 這個Burp Collaborator連結是為了更容易地進行演示。
連結後, 圖像大小就可被壓縮成0。 如果你的惡意文檔用於紅隊或者社工活動, 這就是一個優勢了。 記得將更改保存到文檔中。 現在不管何時打開文檔, 微軟 Word 都會嘗試在文檔中解析這個連結圖像。 這些請求記錄在 Burp Collaborator 用戶端上。
再次說明一下, 這裡討論的方法跟 netbioX 博客中說明的方法十分相似。 通過 7zip 提取Word 文檔中包含的檔。 我們想要修改的檔是位於your_word_doc.docxword_rels下的 document.xml.rels。 這個檔包含一個關係及其相關目標的清單。 這裡說的“關係”將成為“圖像”類型。 將“Target”的值設為偵聽主機的 UNC 路徑。
保存檔並通過 7zip 將其複製到 word 文檔中。 用戶打開 Word 文檔時, inveigh 或 Responder 將會抓取收到的認證請求。 這種方法的一個主要優勢是, 終端使用者無法獲知 Word 試圖連接到一個惡意 URL 或 UNC 路徑。 文檔打開時就會提出請求, 而且啟動時不會顯示 URL 或 UNC 路徑。
通過 PowerShell 枚舉關係目標以上方法雖然簡單但非常強大, 因為它利用的是微軟 Office 中受信任的功能。 以下將說明如何在不使用 7zip 的情況下通過兩種極其簡單的方法枚舉關係列表。
可使用 Word.Application COM 物件訪問 Word 文檔的內容。 僅需一些簡單的命令就可實現這個目標。 WordOpenXML 屬性包含文檔中的 Relationships。 如此就能成功地枚舉文檔中的所有 Relationships 及其相應的目標。 問題就在於, 當使用 Word.Application COM物件時, 就會啟動一個 Word 進程而且 URL/UNC 路徑會被解析。
為避免這個問題, 我們可使用 DocumentFormat.OpenXML 庫枚舉文檔中所有的 External Relationship。 在測試中這種方法不會抓取到任何 collaborator 請求或認證請求。 再進一步, DeleteExternalRelationship 方法會通過提供 relationship id $doc.MainDocumentPart.DeleteExternalRelationship(“rId4”) 來刪除帶有外部 URL 的關係。
參考資料Microsoft Office – NTLM Hashes via Frameset
登錄安全客 - 有思想的安全新媒體www.anquanke.com/, 或下載安全客APP來獲取更多最新資訊吧~