1:在 web根目录下/www : 创建一个1.rtf文件:附上代码
;上是在kali中的服务;
在windows上创空的office;并在里面创建对象
,
这时候会生成一个有test789文字内嵌对象的文档,这是双击该对象只能以rtf文件方式打开对象,并不能执行hta脚本。因为生成对象的时候选中“链接到文件”,所以当打开对象的时候会去服务器上请求http://192.168.1.108/1.rtf来更新对象内容:
此时在apache配置文件conf/mime.types中把
application/rtf rtf
修改成:
application/hta rtf
重启apache2,并且清除IE缓存:
双击对象:弹出计算器和另一种打开方式;
,[再双击对象,此时虽然访问的还是1.rtf文件,但是服务器的Content-type会返回application/hta,而word就以hta脚本的方式打开文件]
poc还是需要用户双击对象进行交互的,那么怎么样才能自动运行对象呢?这里就需要把文件保存成rtf格式::另存为
;这时打开,还会有个和用户交互的框;消除这筐方法:
用记事本打开刚刚rtf文件:找到object标签所在的地方:
把{\object\objautlink\rsltpict修改成:
{\object\objautlink\objupdate\rsltpict
再次打开交互框会慢于网站上脚本的运行:
关键点在于objupdate,这个标签的作用是可以自动更新对象,因此无需用户交互。此时已经可以达到通过hta脚本执行任意代码的目的。
:至于hta脚本就是八仙过海各显神通了
参考(http://blog.youkuaiyun.com/aurora__/article/details/73822139)
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
