干货 | 红队和漏洞挖掘中那些关于文档的妙用(下)

admin 2022年5月5日14:37:09安全文章评论8 views2390字阅读7分58秒阅读模式

0x01 PDF在漏洞挖掘和红队中的一些攻击姿势


1.使用PDF进行XSS攻击

一个比较新的攻击点,它的攻击场景其实不算常见,如果有某些站点允许上传PDF、能在线解析PDF并且用户能够在线浏览该PDF文件,就有可能存在PDF XSS攻击,要实现这个攻击,我们需要制作一个恶意PDF文件,方法如下:


首先找一个PDF编辑器,本文使用“迅捷PDF编辑器“,其它编辑器的操作方法应该也大同小异。点击左上角文件-新建文档-从空白页…

干货 | 红队和漏洞挖掘中那些关于文档的妙用(下)


单机左侧的“页面“标签,选择与之对应的页面缩略图,然后从选项下拉菜单中选择“页面属性”命令

干货 | 红队和漏洞挖掘中那些关于文档的妙用(下)


也可以在这个位置找到

干货 | 红队和漏洞挖掘中那些关于文档的妙用(下)


在“页面属性”对话框单击“动作”标签,再从“选择动作”下拉菜单中选择“运行 JavaScript”命令,然后单击【添加】按钮,弹出 JavaScript 编辑器对话框

干货 | 红队和漏洞挖掘中那些关于文档的妙用(下)


在弹出的“JavaScript 编辑器”对话框中输入代码:

app.alert(‘XSS’);

干货 | 红队和漏洞挖掘中那些关于文档的妙用(下)


保存即可,我们试着用浏览器打开这个恶意PDF文件

干货 | 红队和漏洞挖掘中那些关于文档的妙用(下)


成功弹窗


2.Adobe Acrobat Reader RCE漏洞

与Word和Excel同样的,PDF的查看器本身也存在一些漏洞,如果能够构造恶意PDF,就能够对这些漏洞进行利用。


比方说CVE-2021-21017就是这样一个漏洞

Github链接:https://github.com/ZeusBox/CVE-2021-21017


0X02 使用Word文档进行XXE攻击


1.了解一下DOCX文档的构造

使用DOCX文档进行XXE攻击,看上去似乎非常高级,其实它的原理是非常简单的。DOCX文档其实就是把一堆的XML文件按照一定的格式压缩在一起。在上篇文章中我们提到了一种远程加载文档模板进行攻击的方法,那个姿势的操作过程中,我们就有对settings.xml.rels文件中的内容进行编辑。事实上,你只需要把DOCX文档的后缀改为ZIP,并解压出其中的文件,就可以清晰地看到DOCX文档的“真实面貌“。


干货 | 红队和漏洞挖掘中那些关于文档的妙用(下)


如下图,可以清晰的看到DOCX文档的实际构成

干货 | 红队和漏洞挖掘中那些关于文档的妙用(下)


那么既然是XML文档,我们知道XXE攻击的实质就是后端在处理XML相关数据的时候也执行了我们的恶意XML语句,那么有没有一种可能,我们把恶意语句嵌入到DOCX文档中的某些XML文件里,设法让目标网站触发呢?答案是可行的。


这个姿势的关键点在于,既然DOCX文档是由XML压缩而成的,那么网站的一些功能,比方说在线阅读DOCX文档,在线解析DOCX文档等等功能,一定绕不开解析DOCX文档里的XML文件。所以那种网盘在线阅读DOCX文档、网站在线解析DOCX文档、邮件系统传输DOCX文档等等功能都有可能存在这类漏洞,平时漏洞挖掘的时候记得多留个心眼。


下面就开始正式介绍利用的姿势


第一个回显位置

这个位置ord/document.xml文件中

把它打开后发现是这样的

干货 | 红队和漏洞挖掘中那些关于文档的妙用(下)


第一个位点在文档声明的下方,也就是这个位置

干货 | 红队和漏洞挖掘中那些关于文档的妙用(下)


可以嵌入恶意代码,比方说

干货 | 红队和漏洞挖掘中那些关于文档的妙用(下)

随后将这个压缩包的后缀名修改为DOCX,就得到了一个用于XXE攻击的DOCX文档


第二个回显位置

这个姿势学习自先知社区的“你回来吗”师傅。这位师傅发现了在线浏览或者转换DOCX文档的功能处还有一个回显点,即文章的页码。


这个功能点所处的位置是docProps/app.xml

干货 | 红队和漏洞挖掘中那些关于文档的妙用(下)


可以清楚的看到控制页码的标签是<Pages>

干货 | 红队和漏洞挖掘中那些关于文档的妙用(下)


在Pages标签中嵌入XXE攻击语句即可

干货 | 红队和漏洞挖掘中那些关于文档的妙用(下)


随后将这个压缩包的后缀名修改为DOCX,就得到了一个用于XXE攻击的DOCX文档



2.利用Word OLE功能进行XXE攻击

这个姿势同样学习自先知社区的“你回来吗”师傅。这个手法主要用于攻击Libreoffice,Libreoffice是很多Word转PDF网站的常客,实战情况下有机会遇到。


按照上篇OLE+LNK钓鱼的姿势,先创建一个OLE对象先。

干货 | 红队和漏洞挖掘中那些关于文档的妙用(下)


接下来这一步原文的师傅是用MAC上的Word来实现的,我一开始复现的时候一时半会还没找到Windows环境下在哪有这个功能点,细看了一波终于被我找到了。

干货 | 红队和漏洞挖掘中那些关于文档的妙用(下)


这个文件名的绝对路径可以自己填,插入好之后将这个文档先保存为.odt格式

干货 | 红队和漏洞挖掘中那些关于文档的妙用(下)


然后老样子,把它后缀改为.zip格式再修改其中的XML文件,在content.xml中找到第一个xlink:href,其中的路径修改为你想要读的文件


干货 | 红队和漏洞挖掘中那些关于文档的妙用(下)


最后把它重新改成Docx格式即可



0X03 使用Excel文档来进行XXE攻击


1.相似的原理&相似的输出位点

使用Excel文档进行XXE攻击的原理基本与Word文档进行攻击的原理一致,Excel文档也是由XML文件按照一定的格式压缩在一起的,在这里就不过多赘述了。它们的输出位点也非常相似。把xlxs文档后缀改为zip,找到xl/workbook.xml文件。


其中的内容为:

干货 | 红队和漏洞挖掘中那些关于文档的妙用(下)


同样在XML声明行的下面有一个输出位点

干货 | 红队和漏洞挖掘中那些关于文档的妙用(下)


填入恶意语句

干货 | 红队和漏洞挖掘中那些关于文档的妙用(下)


将压缩包后缀重新改回xlxs文件即可得到一个恶意Excel文件。



0x04 文档XXE实战案例


只给出如何制作恶意XXE文档自然是不够的,如果不清楚什么地方可能出现基于文档的XXE漏洞,那么会做文档也是白搭。但是XXE漏洞本来是挺少见的漏洞类型,利用文档来执行XXE攻击就更是冷门,本人最近也没有挖到过类似的漏洞,所以本文会列举几个乌云里的文档XXE攻击案例帮助各位学习。


1.文件云在线文档预览处可触发

顾名思义,这个触发点位于那些网盘、文件云的“在线预览”功能,上传我们制作好的恶意文档,并在线浏览该恶意文档,就可以看到XXE成功触发


干货 | 红队和漏洞挖掘中那些关于文档的妙用(下)


2.邮箱附件在线预览

无图,但是姿势无非就是在线预览

干货 | 红队和漏洞挖掘中那些关于文档的妙用(下)

干货 | 红队和漏洞挖掘中那些关于文档的妙用(下)

干货 | 红队和漏洞挖掘中那些关于文档的妙用(下)


推荐阅读:


干货 | 红队和漏洞挖掘中那些关于”文档“的妙用(上)


干货 | Office文档钓鱼的实战和免杀技巧


干货 | Office文档钓鱼之如何快速进行宏免杀


实战 | WAF-Bypass之SQL注入绕过思路总结


干货 | 红队和漏洞挖掘中那些关于文档的妙用(下)


点赞,转发,在看


原创投稿作者:[email protected]

干货 | 红队和漏洞挖掘中那些关于文档的妙用(下)

原文始发于微信公众号(HACK学习呀):干货 | 红队和漏洞挖掘中那些关于文档的妙用(下)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月5日14:37:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  干货 | 红队和漏洞挖掘中那些关于文档的妙用(下) http://cn-sec.com/archives/974055.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: