利用PowerShell Empire实现Word文档DDE攻击控制

近期,有安全人员发现了一种DynamicData Exchange (DDE)协议绕过MSWord和MSExcel宏限制,不需使用MSWord和MSExcel漏洞,就能实现在Office文档中执行恶意命令目的。在这篇文章中,我将展示如何利用基于Empire的PowerShell来对Word文档进行“伪装”攻击,可能还有其它实现方法,我仅作个抛砖引玉。

创建Empire Listener

创建一个Empire Listener监听线程,可点此查看Empire的使用说明。

当监听线程启动运行之后,运行以下命令,生成将要在目标受害机器上执行的PowerShell代码:

launcher powershell C2

复制powershell -noP -sta -w 1 -enc之后的转码脚本并另存为一个文件,然后把它部署于某个攻击需要用到的Web服务器中,用于受害主机稍后的请求下载。该Web服务器可以是Apache之类的,但在这里,我用Python SimpleHTTPServer模块来快速启动一个Web服务,它会自动托管你启动命令目录内的文件,当然最好可以创建一个文件目录,然后通过终端cd到其中进行文件生成(我这里是evil)和启动Web服务。(Python的Web服务默认监听端口为8000)

python -m SimpleHTTPServer

改装Word文档

创建一个可以利用DDE攻击的Word文档:生成一个Word文档,点击空白区域,点击插入标签,点击文档部件(Quick Parts),然后点击域(Field):

然后在下面这选择= (Formula),点击OK:

在生成的内容上面,右键点击切换域代码(Toggle Field Codes):

之后,在其中插入以下DDEAUTO代码,但务必监听端的IP和端口正确:

现在就可以保存该文档,准备把它发送给目标受害者了。

攻击测试

一旦受害者点击打开该文档,会跳出几个错误,可以配合社工技巧来迷惑用户来点击Yes。可以修改这些错误消息更直观好看一点,例如有一些测试人员就把它修改为’Symantec Document Encryption’。

一旦受害者把所有错误消息都点击了Yes之后,在我们的监听端就会反弹回一个Empire的控制连接,对受害者系统形成远程控制:

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-11-12

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏王磊的博客

xcode编译报错unknown error -1=ffffffffffffffff Command /bin/sh failed with exit code 1

升级完xcode9.1之后,编译项目出现如下错误: CI今日构建时报出如下错误: /Users/xxx/Library/Developer/Xcode/Deri...

41714
来自专栏Script Boy (CN-SIMO)

在linux中连接wifi

分为以下步骤:-----------(键入以下命令的时候注意大小写与空格。) 1. 进入终端treminal 获取管理员权限---------...

2450
来自专栏魏艾斯博客www.vpsss.net

百度站长工具和 360 站长平台自动推送代码如何安装使用

5915
来自专栏企鹅号快讯

如何在 Linux 上安装友好的交互式 shell:Fish

Fish 有着很多重要的功能,比如自动建议、语法高亮、可搜索的历史记录(像在 bash 中 CTRL+r)、智能搜索功能、极好的 VGA 颜色支持、基于 web...

2197
来自专栏Python专栏

用python来更改小伙伴的windows开机密码,不给10块不给开机

2606
来自专栏小白安全

FreeBuf__PowerShell Empire实战入门篇

前言 PowerShsell Empire中文简称 “帝国” ,可能大多数只听说过这款内网渗透神器,针对windows系统平台而打造的一款渗透工具。在P...

4208
来自专栏张善友的专栏

Windows 8 RC升级到RTM很顺利

微软最终版的 Windows 8 开始向 MSDN 和 TechNet 会员提供下载。如果您是 MSDN 订阅者,则可以从 MSDN 订阅者下载获取 Windo...

2046
来自专栏知识分享

轻松使用8266

今天算是做好了板子啦!做了一块直接用串口配置8266的板子,,也可以无线配置,配置完一次,上电自动运行...这篇文章也是写给一个朋友看的,朋友的项目做了很长时间...

3499
来自专栏码字搬砖

Hbase原理详解

首先指出图片的一个错误,Hlog应该属于HRegionserver的,不应该在HRegion中。

2853
来自专栏轻扬小栈

ADSL 下让外网访问我们的破狗

3155

扫码关注云+社区

领取腾讯云代金券