介绍
我想分享最近发现的一个有趣现象,提前说明,这是我基于最新的Windows 10操作系统以及最新的的MS Office 365所发现的。这也是我在开发网络钓鱼工具PhishAPI时偶然发现的。
大多数用户都知道,在打开文档时,经常会出现“受保护视图”模式。该模式会防御很多以前出现的Office安全问题,导致诸如IP地址、操作时间戳、操作系统/Office版本,甚至NTLMv2等信息被窃取!
背景
在Microsoft Office文档中嵌入隐藏的HTTP和UNC调用并不是一种新技术,正如大多数人所知道的那样,像Word文档(docx)这样的文件实际上是包含xml数据的压缩文件。如要自己确定这点,只需用压缩软件打开docx文件,或者将其重命名为.zip,然后直接打开。
这些压缩文件往往包含多种资源,例如图像以及引用它们的xml文件。当然也可以使用外部的图像,这就是HTTP调用存在的意义。你可以直接引用一个外部URI,而不是文件内部的物理路径。
你也可以将图像设置为隐藏,这样就不会在文档中看到。红队团队经常使用这种技术配合Netcat设置一个监听端口(类似于nc -lv 0.0.0.0 80
),来判断目标是否上钩。
通过PhishAPI,我能为新文档自动创建xml信息,以及为现有文档插