当用户打开文档并启用宏功能时,Word文档就会下载并打开另一个受密码保护的Microsoft Excel文档。...攻击者可以利用DDE和VBA来实现这个目标,而这两个功能是标准的微软工具随Windows系统提供。 DDE是一种在应用程序(如Excel和Word)之间传输数据的方法。...当用户停止操作之后,这个宏将会被保存下来,并且会被分配给一个按钮,当用户点击这个按钮时,它会再次运行完全相同的过程。...禁用Excel宏警告 恶意软件的开发人员通过在Word文档中嵌入指令,从Excel单元格中提取内容,实现了警告绕过。...因此,我们建议广大用户,仅当接收到的文档来自可信来源时才启用宏功能,这样才是安全的。
---- DDE输出也是我最近get到的新技能,由于之前一直Tagsets输出Excel发现Tagsets输出有一些弊端,在数据量非常大的时候运行时间长,而且文件也会被放大。...---- ---- 如何实现通过DDE的方式进行输出数据集呢, 首先需要启动Excel 0.0 很多文献和相关资料都是这样写的(代码如下)为啥这样写,我也不知道, 反正能达到打开Excel的目的。...r1c1:r1c6"中class.xlsx为新建Excel名称,sheet1为新建Excel里面激活的一个sheet也是向里面写数据,后面可以通过rename来实现自定义sheet名称。...在真正输出的过程中,操作方法如下: 1.先获取待输出数据集的变量结构,proc contents 或者sql 中的数据集字典的方式 获取变量的label/变量名称然后通过复制给一个宏变量,通过第一个filname...将变量名给输出到Excel 2.第二个filename是为为了将数据集需要输出的数据进行输出,这个时候我也通过赋值宏变量的方式进行操作,因为写成宏以后只用填写数据集和输出路径就可以实现输出。
本文是上一篇文章的续篇,在前面已经提到过DDE,Proc export ,ods tagsets.excelxp输出Excel的程序、Macro。...2、输出样式可自定义 不管是DDE还是tagsets.excelxp均可以实现对样式的设计,但是DDE使用起来较为繁琐(也可能是小编对此方式研究不够透彻),ods Excel的输出样式可以自定义话,与tagsets...Note:本来是是截图的,但是发现在有一些个人信息,小编懒了,就直接用手机补拍故意曝光过曝一下,掩盖一些背景信息。...通过这张截图,就可以看出小编写的Macro是怎么使用的,宏参数有哪些,各个参数是干嘛用的,以及创建人等等一些描述性的东西,很容易让人看懂这个宏是功能,和版本。...小编的基本框架如上截图:很类似之前的tagsets的写法(如果看了我前面的一篇推送就会发现),我是先回tagsets.excelxp的,在此基础上在来学习ods Excel的,还是回到基本框架上来,小编写
这个功能的本意是为了更方便地在 word 里同步更新其它应用的内容,比如说在一个 word 文档里引用了另一个 excel 表格里的某项内容,通过连接域 (Field) 的方式可以实现在 excel 里更新内容后...2.6 构造DDE钓鱼文档 创建一个文档 dde.docx ,之后双击打开 dde.docx,直接Ctrl + f9快捷键便可以快速帮助创建一个域,我们则只需要在花括号中添加如下指令(弹出一个计算器),...可以将IYQ简单的理解成内置在excel中的一种特殊‘web浏览器’(不能加载脚本),通过IQY【即web查询】语句,可以直接将各类web上的列表数据轻松引入到当前的excel中,而正是因为这样,从而给了我们利用...当受害者双击打开时,默认会用Excel打开,弹出警告,点击启用 因为前面的iqy文件是用cmd执行的,所以会继续询问是否启动另一个应用程序,CMD.EXE....2.9 超链接 在PDF、Office文档中内嵌一个跳转链接是很早期的钓鱼方式,通过文字信息的引导,让受害者点开页面,如果缺乏戒心,就可能会获取到受害者的账号、密码、银行卡、身份证等信息。
从以往的攻击手法上看,在Microsoft Office中执行任意代码往往是通过宏来实现的。那么,有没有其它方法可以实现任意代码执行呢?答案是肯定的。...SensePost就发现了一种利用DDE(动态数据交换)协议,来执行任意代码的方法。办公产品内有许多可通过DDE接收代码并执行的地方,本文我将为大家演示一些这类攻击的常用手法。...或者,我们也可以像Paul Ritchie在其博客中描述的那样,使用宏将payload插入字段代码。...Excel 在Microsoft Excel DDE有效载荷可以通过formula的使用来利用。...当用户打开恶意Excel电子表格时,将出现以下对话框。 ?
文件验证失败 文件是使用“在受保护的视图中打开”选项打开的 文件是从其他人的 OneDrive 存储中打开的 XLM / Macro 4.0 (excel宏钓鱼) excel下有宏功能,可以用来执行命令...其使用方法如下 右键下方sheet1,选择插入 点击 MS Excel4.0宏表,就可在excel中插入一个宏表 依次输入这两个命令,并把第一行设置为Auto_Open 随后保存为xlsm文件即可。...随后当该文件被打开时,会自动打开cmd窗口 这里的exec其实是执行的cmd命令,我们可以借此来上线cs等操作。 真不错。但在某些情况下打开此类excel文件需手动点击启用宏才能正常钓鱼。...(前提是在信任中心设置开启所有宏) 当然,一般情况下打开此类文件会显示 启用内容后就会弹计算器了 Word DDE 在word文件里,输入 ctrl+F9,进入到域代码编辑。...我们可以键入以下代码使文件在被打开时执行系统命令(word2019复现未成功,word2016成功,似乎是word版本问题 这个蛮实用的,目前众多word是默认禁用宏的,dde只需要用户点击两个按钮即可执行
这个功能的本意是为了更方便地在 word 里同步更新其它应用的内容,比如说在一个 word 文档里引用了另一个 excel 表格里的某项内容,通过连接域 (Field) 的方式可以实现在 excel 里更新内容后...实用性相较于宏来说更为实用。DDE执行时用户点击两个按钮即可执行。...,都是支持宏功能的,因此我们也可以用Excel文档进行钓鱼,不过,使用Excel文档进行钓鱼需要使用Metasploit生成一个恶意msi文件 首先我们需要用MSF生成一个恶意msi文件,在msf中我们使用如下命令生成...,如果你想执行别的工具也可以打在上面,不过大概率被杀,HALT是Excel文档代码的退出代码,不加容易报错) 为了用户能够在打开Excel文档时自动执行我们的恶意代码,我们要选中这个EXEC代码所在的框框...项目地址是:https://github.com/Ridter/MyJSRat 它的用法非常简单,把它放在你的VPS上,执行如下命令: Python MyJSRat.py -i 服务器地址 -p 监听端口 运行之后会生成三个地址
变化 → 如上,左图为俩个report输出的表格,右图为通过SAS程序修改RTF标记语言后实现表格的整合。...具体实现过程与程序如下: 1、template的编写,设置表格为带边框的 2、定义宏变量,将需要采用多级标题观测值存入宏变量中,并利用report输出。...说明 上面这样修改的原因是生成的每个RTF文件结构都一样,所以可以在各RTF文件的指定位置做出这样的修改,如果template、页眉页脚等信息做出了修改,这里修改的行数大概也是变做出相应的调整!...通过这里例子,主要是想分享一种思路,SAS程序也可以实现此类表格的制作。 既然RTF能实现如此结构的输出,那么能否实现Excel花式输出呢,显然也是可以的。...Excel的输出,在小编的历史推文中都是有写过的。输出Excel想要实现指定单元格输出,采用DDE的方式也是一种便捷途径。 DDE实现指定单元格精确输出 ?
Threat Hunting #4 通过 DDE 活动检测 Excel/Word 文件 Windows 提供了几种在应用程序之间传输数据的方式。...应用可以使用 DDE 协议进行一次性的数据传输,也可以在当有新数据可用时互相推送更新做持续性的数据交换。 攻击者可能使用 DDE 执行任意命令。...微软 Office 文档可能直接或间接的通过植入文件被恶意嵌入 DDE 命令,并通过钓鱼或托管网站内容的方式执行命令,从而避免了 VB 宏的使用。...打开一个含有 DDE 内容的文档,office 程序将会弹出两个连续的警告信息: 实例中后缀名为 slk 的文件含有 DDE 表达式,调用 cmd.exe 作为外部数据源以执行任何命令。 ?...微软的 Net.exe 工具可以被用来枚举本地和域用户/组(任何攻击者都会通过这种手段收集信息以达成目标)。
基本介绍 2017年10月SensePost发布了一篇文章并在其中解释了如何在不使用任何宏或脚本的情况下从Microsoft Word文档中执行任意代码,SensePost描述的技术是利用合法的Microsoft...Office功能,该功能称为DDE(动态数据交换),DDE旨在允许Microsoft办公应用程序之间传输数据,由于此技术不会使用电子邮件网关可以检测到的恶意宏感染Word文档,因此可以实现与远程代码执行相同的结果...,这种攻击非常有效且被广泛用于恶意软件活动和红队评估 利用方式 Metasploit MSF框架中提供了对DDE漏洞的利用模块,我们可以直接使用该模块生成有效载荷并将其投放给受害者用户诱导其点击运行 msf6...Auto的bash脚本,它利用CactusTorch工具生成有效负载并利用Metasploit框架配置来接收连接的侦听器 项目地址:https://github.com/xillwillx/CACTUSTORCH_DDEAUTO...DDE以及其漏洞的利用方式和思路,在进行红队安全评估时我们可以通过DDE来实施社工钓鱼等方式进行利用,不过值得一提的是目前很多的防病毒公司正在尝试检测DDE攻击,因此对于构建具有更高可能性逃避检测并在网络中建立初始足迹的有效载荷而言
上图是一个 Red Team 攻击的生命周期,整个生命周期包括:信息收集、攻击尝试获得权限、持久性控制、权限提升、网络信息收集、横向移动、数据分析(在这个基础上再做持久化控制)、在所有攻击结束之后清理并退出战场...红队在攻击企业时,通过外围的业务系统比较难以进入内网,往往外围的业务系统不是在云上就是在 DMZ 区,在获得业务系统权限的时候也不一定能进入到办公网络,再加上 CDN 和 Waf 这种东西的存在,通过...https://github.com/nccgroup/demiguise Office-DDE-Payloads 这个项目可以生成嵌入 DDE 的 word 和 excel 的模版,可以在进行钓鱼攻击的时候使用...其中一种就是使用动态数据交换(DDE)协议。 DDE 协议是一套消息和指示的集合。通过发送消息以及共享内存实现应用程序的数据共享和交换。...程序"运行时"即是程序被编译了之后,打开程序并运行它直到程序关闭退出这段时间。
很多人很容易忽略的是DDE注入:导出格式为csv,xls时,或许你可以尝试构造这个漏洞,它不会对网站本身产生危害,但会对终端用户造成任意OS命令执行等危害。 ?...2)DDE注入 动态数据交换(DDE),全称DynamicData Exchange,是Windows下进程间通信协议,支持Microsoft Excel,LibreOffice和Apache OpenOffice...Excel、Word、Rtf、Outlook都可以使用这种机制,根据外部应用的处理结果来更新内容。因此,如果我们制作包含DDE公式的CSV文件,那么在打开该文件时,Excel就会尝试执行外部应用。...所以攻击的路线就很清晰了: 业务系统接受用户输入并导出为csv——>恶意用户通过界面输入payload——>受害者下载文件并在PC运行——>受害者PC被攻击。...A0 在等于号被过滤时,可以通过运算符+-的方式绕过; 2、%0A-3+3+cmd|' /C calc'!
这些加载项都是为了使用户能够利用高性能函数,为 Excel 工作表提供 API 调用接口。与 VBA 等其他接口相比,该方式能够更有效地扩展 Excel 的能力,使其支持更多功能,例如多线程。...△ 提示信息 攻击者通常将代码置于 xlAutoOpen函数中,该函数会在加载项被激活时立即触发执行。这意味着,与要求用户启用宏的 VBA 宏不同,受害者只要打开就会执行恶意代码。...△ 文件资源段结构 其中包含 Excel-DNA 项目组件以及加载项,可以通过查看资源名或者同样存储在资源中的 XML 定义文件来识别包含 Excel 加载项的 XLL 文件。...样本首先通过进程环境块(PEB)遍历 InLoadOrderModuleList正确解析所需 DLL 的基址,然后再找到希望调用的 API 函数地址。...提供了许多合法执行代码的方式,如 Excel 4.0 宏、DDE 和 VBA,这些都已经被攻击者滥用。
0x1 背景 过去几年,基于宏的文档攻击技术一直是主流,虽然需要用户主动进行确认,但是攻击的成功率依然非常的高。...该方法已经开始替代了用宏技术来传播,成为当前使用office为载体传播病毒的新宠。 0x2 DDE技术介绍 Windows提供了应用程序间数据传输的若干种方法。...其中一种就是使用动态数据交换(DDE)协议。DDE协议是一套消息和指示的集合。通过发送消息以及共享内存实现应用程序的数据共享和交换。...4、 如果正在运行的程序响应DDE启动请求,则会发送WM_DDE_ACK应答MSWord 然后MSWord更新储存DDE信息结构的第二个成员的数据为应答窗口的HWND,后续WM_DDE_ACK就会响应WM_DDE_TERMINATE...消息,在MSDN中描述DDE请求的目标进程应该已经运行,此处就开始走MSDN描述的流程。
此类加载项背后的想法是它们包含高性能函数,并且可以通过应用程序编程接口 (API) 从 Excel 工作表中调用。...双击附件打开 Microsoft Excel,提示用户安装并激活加载项。 图 1 – 打开 XLL 文件时向用户显示的提示。...使这种技术变得危险的是,只需单击一下即可运行恶意软件,这与需要用户禁用 Microsoft Office 的受保护视图并启用宏内容的 VBA 宏不同。...您可以通过查看资源名称或同样存储在资源部分中的 XML 定义文件来识别包含 Excel 加载项代码的文件。 图 5 – Excel-DNA XML 定义。...提供了许多合法的代码执行方式,例如 Excel4 宏、动态数据交换 (DDE) 和 VBA,这些都被攻击者广泛滥用。
,软件设计者为了让人们在使用软件进行工作时,避免一再地重复相同的动作而设计出来的一种工具,它利用简单的语法,把常用的动作写成宏,在工作时就可以直接利用事先编好的宏自动运行,去完成某项特定的任务,而不必再重复相同的动作...在本小节中,我们的目的是构造一个存在恶意宏代码的简历文件并将其投放给HR,通过钓鱼控制目标主机 实验步骤 Step 1:首先准备一份简历 Step 2:使用CS生成恶意宏代码 Step 3:弹出界面选择...之后将其保存为启用宏的word文档,这里选择"否" Step 6:之后将恶意简历发送给受害者用户 Step 7:当用户打开文档并启用宏时,可以成功得到shell 这里因为默认情况下,信任中的的宏设置为...恶意代码会被成功执行并上线 Office DDE 实验说明 OFFICE DDE是微软的OFFICE中的一个功能,能过够执行公式,插入远程图片,也可以用来执行恶意代码,本篇文章的目的是通过Office...DDE漏洞实现钓鱼操作,并获取目标主机的权限,该漏洞主要影响以下Office应用: Office 365 Microsoft Office 2000 Microsoft Office 2003 Microsoft
:如何通过攻击路径获取更大成果) 文章看点:本文总结了几种域内的攻击路径,并通过此攻击路径来获取更大成果的方法。...在打开特定的文件时执行任意代码(有可能是执行恶意的宏),CVE-2021-42321是由于exchange的command-let的参数检查验证问题导致的RCE漏洞。...CVE-2021-42298是windows defender的RCE漏洞,当defender接收到恶意软件更新时,会自动连接互联网中的恶意服务器导致远程代码执行。...攻击者可以注意一下RDP的客户端漏洞,连接远程桌面时避免连接上RDP蜜罐而被反制。...推送亮点:此工具能检测来自远程的RPC调用信息,而内网的横行移动、中继攻击、DCSync、ZeroLogon和外网的许多web服务,都是通过RPC实现的,通过在edr或者HIDS中加入RPC防火墙,可以对这些攻击事件进行检测和拦截
本节我们介绍在读取数据过程中,一些小技巧的使用,比如如何让SAS只读取第3到第5行的数据,读取EXCEL时,如何指定读取某个sheet等等。...环境下,只能在程序运行时(比如excel),SAS才能进行读取。...一个窗口会出现你复制文件的DDE三元组。比如,一个工作薄的DDE三元组为: Excel|C:\MyFiles\[BaseBall.xls]sheet1!...R2C1:R5C7'; 从SAS中启动程序 这种方法可以不用在运行SAS之前启动数据程序。...2.22 列出SAS数据集目录 由于SAS是自文档化,即在自动储存了数据集的信息,因此可以通过contents过程来查看SAS数据集的描述。
当用户点击邮件中的 URL 链接并输入用户名密码等信息进行登陆操作、或者扫描支付二维码并输入金额进行支付操作、或者下载并打开包含宏指令的文件时,将自动转向安全警示教育页面。 测试过程 ? ?...图:钓鱼邮件测试方法图示 测试通过发送钓鱼邮件给用户,诱导用户点击邮件中的URL 链接、或者扫描二维码、或者下载文件,连接到钓鱼 Web 服务器。...钓鱼 Web 服务器上部署Web 站点,并记录用户访问时的信息。 在具体的测试中有下面四个步骤: 1、通过搭建邮件服务器,向内网 Notes 邮箱及互联网邮箱的个人用户群发钓鱼邮件。...测试判断标准 1、是否已访问邮件中钓鱼网站的 URL 并输入用户名、密码等信息进行登陆操作;是否扫描了伪造的支付二维码并输入金额进行支付操作;是否下载并打开了钓鱼邮件中包含宏指令的 Word、Excel...通过判断用户是否下载并打开包含宏指令的文件的方式判定用户是否被钓鱼成功。附件中的宏指令仅包含自动打开钓鱼链接的功能,不包含宏病毒。 测试同时需要设计安全意识教育页面模板,以对受害员工进行安全意识教育。
02 小编最近在潜心研究外部数据导入SAS,深感Excel的导入的不便利,想实现程序控制将Excel改为CSV在通过CSV导入SAS。...%mend dde_file_yn; 02 开始本文重点了!重点!重点!..._; if %dde_file_yn(&path....由于前面的SAS执行生成Python文件是需要时间的去生成Python文件的,如果执行完上面的,立刻运行X Command执行Python文件可能会失败,因为Python文件还没有生成,为了解决这个问题...*/ data _null_; if %dde_file_yn(&path.\xls2csv_py.py)=0 then ym=0; do until (%dde_file_yn(&path.
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
腾讯会议
云直播
