利用DOCX文档远程模板注入执行宏

最新推荐文章于 2024-08-20 18:48:02 发布
最新推荐文章于 2024-08-20 18:48:02 发布
阅读量2.1k 收藏 1
点赞数
分类专栏: WEB 漏洞复现和分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/god_zzZ/article/details/102745794
版权

利用DOCX文档远程模板注入执行宏

原理

与传统的宏启用文档相比,这种攻击的好处是多方面的。在对目标执行网络钓鱼攻击时,您可以将.docx的文档直接附加到电子邮件中,并且您不太可能根据文件的拓展名去阻止它。

Word远程模板执行宏就是利用Word文档加载附加模板时的缺陷所发起的恶意请求而达到的攻击目的,所以当目标用户点开攻击者发给他的恶意word文档就可以通过向远程服务器发送恶意请求的方式,然后加载模板执行恶意模板的宏。
这种攻击更常见的原因是,发送的文档本身是不带恶意代码的,能过很多静态的检测。

环境

两个word文档

  1. 第一个是启用宏的模板,或是.dotm文件,它将包含恶意VBA宏
  2. 第二个是看似没有危害的.docx文件,它本身不包含恶意代码,只有指向恶意模板文件的目标链接
  3. cobalt strike

利用

  1. 直接用的cobalt strike生成的宏代码
  2. 就不啰嗦了
    在这里插入图片描述
  3. 自行测试宏是否生效
    在这里插入图片描述
  4. 生成一个正常的docx文件,内容根据实际需求进行编造,保存后将后缀改成zip
  5. 将其解压,修改./word/_rels/下的settings.xml.rels文件,没有的话可以自己添加。
    在这里插入图片描述
  6. 修改内容如下:
<Relationship Id="rId6" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate" Target="fontTable.xml"/></Relationships>

包含带有attachmentTemplate的Type的Relationship标记,是告诉Word打开该.docx时从哪里加载模板的设置,我们可以将Target值修改为远程位置。

  1. 最后保存后重新压缩成zip,并修改后缀为docx,执行测试,能返回
    在这里插入图片描述
god_Zeo
关注
专栏目录
RemoteTemplateInjectionDemo:演示文件,用于将.dotm文件远程模板注入.docx
04-29
RemoteTemplateInjectionDemo是一个演示项目,主要用于展示如何利用.dotm(Microsoft Word模板文件进行远程模板注入到.docx文档中的技术。在IT安全领域,这种技术通常被安全研究人员用来测试系统的漏洞,同时也...
Word模板注入攻击
dda6607的博客
05-16 992
Word模板注入攻击 0x00 工具准备 phishery:https://github.com/ryhanson/phishery/releases office版本:office 2010 0x01 什么是Word模板注入攻击 Word模板注入攻击就是利用Word文档加载附加模板时的缺陷所发起的恶意请求而达到的攻击目的,所以当目标用户点开攻击者发给他的恶意word文档就可以...
服务端模板注入攻击原理以及实战(SSTI)
Ba1_Ma0的博客
04-10 3731
什么是模板 简单来说,就是网站内容的动态部分,如果有一个网站的内容几乎相同,但只有某些部分发生改变,那么他们很有可能使用了模板 模板看起来如下: hello{user.name} 他们有一个静态罐和一个动态罐,hello为静态罐,{}里的内容为动态罐 这就是为什么编译器如何是知道该部分是动态的,另外需要注意的是,并非是所有模板看起来都是像上面那样,列如: hello{{user.name}} 这是一个名为jinja模板引擎的示例,用流行的python框架(如django和flask)所使用 什么是模板
钓鱼的常见几种方式
最新发布
qq_55894976的博客
08-20 1129
【代码】钓鱼的常见几种方式。
钓鱼&文件名反转&office远程模板
qq_50854662的博客
05-29 1643
本文内容涉及程序/技术原理可能带有攻击性,仅用于安全研究和教学使用,务必在模拟环境下进行实验,请勿将其用于其他用途。因此造成的后果自行承担,如有违反国家法律则自行承担全部法律责任,与作者及分享者无关 0x01 件名反转 在渗透过程中,有时需要通过钓鱼来来传播一些木马文件,而这些木马文件需要精心的伪装。RLO即 Start Of Right-to-Left override。我们可以通过选择插入Unicode控制字符RLO来达到反转文件名的效果 以CobaltStrike生成的木马BypassA.
利用DOCX文档远程模板注入执行代码
weixin_44922845的博客
04-03 2648
利用DOCX文档远程模板注入执行代码 简介 本地文件中在没有代码的情况下,攻击者可以尝试执行远程文件代码。其中来自APT28的最新样本将此技术展现的淋漓尽致。该样本是docx文件文件内没有任何相关信息,但是打开该文件后,却会弹出经典的“安全警告”。本实验将实现通过远程加载执行代码的攻击方式。 应用场景 该种攻击方式与传统的启用文档相比,这种攻击的好处是多方面的。在对目标执行网络...
远程加载含有恶意代码的word模版文件上线CS
热门推荐
Shanfenglan's blog
08-31 23万+
原理 将直接加载远程带有的恶意模版使用。 缺点 目标主机的网速决定了加载远程模版的速度。有可能文件打开的会特别慢(例如将远程模版放在github),受害者可能在文件打开一半的时候强制关闭word。 优点 因为是远程加载,所以免杀效果十分不错。基本不会被杀毒软件拦截。 实现 第一步:制作一个恶意的模版并确保能够上线 这里以cs的木马为例。 获取到恶意的VB代码后打开word,在工具栏的空白区域右键,点击自定义功能区 勾选开发工具选项。 此时就会出现开发工具这一栏 此时点击Visual basi
remoteInjector:将远程模板链接注入到Word文档中以进行远程模板注入
05-22
将到远程单词模板的链接注入到Word文档中。 要求 Python3.x或Python2.x 用法 usage: remoteinjector.py [-h] [-w URL] F Inject Template Through Relationship Settings positional arguments: F .docx file to ...
述职报告模板8篇_1.docx
10-08
- **重点培训**: 加强班组长远程培训,举办内训师培训4期,共750人次参加。 - **目标**: 提升员工的专业技能和服务意识,满足企业发展需求。 **1.6 人才选拔与任用** - **岗位竞聘**: 对8个关键岗位实施竞聘上岗。 ...
个人简历模板_55.docx
06-10
【个人简历】是一个展示个人技能、经验和成就的重要文档,尤其在IT行业中,它通常是雇主评估潜在员工的第一步。本简历的主人翁是一名专注于互联网技术的专科毕业生,具有扎实的JAVA基础和丰富的WEB开发经验。 首先...
JAVA软件工程师的简历模板.docx
06-14
- 实现方式: 使用面向接口的编程方式,利用Spring依赖注入进行耦合。 - 特点: 使用了多个设计模式,如DAO模式、DTO模式等。 2. **题库管理系统** - 技术栈: SSH框架整合模式、AJAX、Javascript、CSS等。 - 功能...
[C#]_[使用微软OpenXmlSDK (OpenXmlReader)读取xlsx表格] 读取大数据量100万条数据Excel文件解决方案...
weixin_34062329的博客
07-18 1300
  1.OpenXmlSDK是个很好的类库,可惜只能通过C#调用,C#的童鞋又福气了。 2.服务端程序由于没法安装office,所以这个对asp.net网站来说是最理想的库了。需要.net 4.0版本以上. 3.以流形式,sax模型读取大文件。   using System; using System.Collections.Generic; using Syst...
PageOffice常用功能之-使用RunMacro运行Office的
weixin_37904139的博客
09-10 1954
PageOffice使用 RunMacro 方法在在线打开的PageOffice文档执行已录制的指令或者新编写的指令(VBA代码)。PageOffice可以运行文档中无返回值和有返回值的指令。 document.getElementById("PageOfficeCtrl1").RunMacro( MacroName, MacroScript ); 参数 描述 Macro...
实现一个远程模板执行恶意代码
信息安全
11-09 677
文章目录原理实现创建模板创建加载远程文档文件运行总结 原理 word远程模板利用word文档加载附加模板时向远程服务器发起请求而达成攻击的目的,请求并加载远程的恶意模板可用来执行恶意行为 文档本身无恶意代码,内容中只有指向远程服务器地址的url,可以绕过安全软件的静态查杀 实现 创建模板 在这里生成了两种模板,一种是cs生成的后门,一种是测试的弹框代码 使用CS,生成代码 创建一个docx文件,Alt+F11 启动vb编辑器,将代码粘贴进去,另存为dotm文件 测试弹框的代码 创建
红队武器库:fastjson小于1.2.68全漏洞RCE利用exp复现
god_Zeo的安全博客
07-04 5万+
0x01漏洞介绍 Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。 0x02影响范围 Fastjson < 1.2.68 Fastjson爆出的绕过方法可以通杀1.2.68版本以下所有 0x03漏洞复现 下面以Fastjson 1.2.47 为例子,因为vulhub有现成的环境十分方便
Coremail-0day敏感文件泄露漏洞送附批量检测脚本
god_Zeo的安全博客
06-17 1万+
漏洞介绍 Coremail邮件系统是业内唯一一款商用的超大规模运营级邮件系统,开始研发于1999年 [1] ,其前身为中国第一套中文电子邮件系统163\126,目前在中国的客户包括网易系列邮箱、中国移动手机邮箱(139)等国内领先的邮箱服务运营商,以及宝钢、首钢、南方电网、农业银行、交通银行、华润、神华、华能等世界500强中国企业,截止2019年,Coremail邮件系统产品在国内已拥有10亿终...
CVE-2020-0796_RCE漏洞exp复现(非蓝屏)
god_Zeo的安全博客
06-05 1万+
0x00漏洞介绍 漏洞介绍 微软SMBv3 Client/Server远程代码执行漏洞CVE-2020-0796 影响范围: Windows 10 Version 1903 for 32-bit Systems Windows 10 Version 1903 for x64-based Systems Windows 10 Version 1903 for ARM64-based Systems Windows Server, Version 1903 (Server Core installation)
骑士CMS 6.0.48前远程代码执行漏洞利用详解
这个漏洞利用了骑士CMS的模板解析机制和上传文件处理的不足,攻击者能够通过精心构造的请求来远程执行任意代码,对系统的安全性构成了严重威胁。为了修复此漏洞,建议及时更新到最新版本或者应用安全补丁,同时强化...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值