近期，有安全人員發(fā)現(xiàn)了一種DynamicData Exchange (DDE)協(xié)議繞過MSWord和MSExcel宏限制，不需使用MSWord和MSExcel漏洞，就能實現(xiàn)在Office文檔中執(zhí)行惡意命令目的。在這篇文章中，我將展示如何利用基于Empire的PowerShell來對Word文檔進行“偽裝”攻擊，可能還有其它實現(xiàn)方法，我僅作個拋磚引玉。

創(chuàng)建Empire Listener

創(chuàng)建一個Empire Listener監(jiān)聽線程，可點此查看Empire的使用說明。

當監(jiān)聽線程啟動運行之后，運行以下命令，生成將要在目標受害機器上執(zhí)行的PowerShell代碼：

launcher powershell C2

復(fù)制powershell -noP -sta -w 1 -enc之后的轉(zhuǎn)碼腳本并另存為一個文件，然后把它部署于某個攻擊需要用到的Web服務(wù)器中，用于受害主機稍后的請求下載。該Web服務(wù)器可以是Apache之類的，但在這里，我用Python SimpleHTTPServer模塊來快速啟動一個Web服務(wù)，它會自動托管你啟動命令目錄內(nèi)的文件，當然最好可以創(chuàng)建一個文件目錄，然后通過終端cd到其中進行文件生成（我這里是evil)和啟動Web服務(wù)。（Python的Web服務(wù)默認監(jiān)聽端口為8000)

python -m SimpleHTTPServer

改裝Word文檔

創(chuàng)建一個可以利用DDE攻擊的Word文檔：生成一個Word文檔，點擊空白區(qū)域，點擊插入標簽，點擊文檔部件（Quick Parts），然后點擊域（Field）：

然后在下面這選擇= (Formula)，點擊OK：

在生成的內(nèi)容上面，右鍵點擊切換域代碼（Toggle Field Codes）：

之后，在其中插入以下DDEAUTO代碼，但務(wù)必監(jiān)聽端的IP和端口正確：

現(xiàn)在就可以保存該文檔，準備把它發(fā)送給目標受害者了。

攻擊測試

一旦受害者點擊打開該文檔，會跳出幾個錯誤，可以配合社工技巧來迷惑用戶來點擊Yes。可以修改這些錯誤消息更直觀好看一點，例如有一些測試人員就把它修改為'Symantec Document Encryption'。

一旦受害者把所有錯誤消息都點擊了Yes之后，在我們的監(jiān)聽端就會反彈回一個Empire的控制連接，對受害者系統(tǒng)形成遠程控制：

?

Excel

在Microsoft Excel DDE有效載荷可以通過formula的使用來利用。以下兩個formula將執(zhí)行代碼（本例中為計算器），第二個formula將使警告消息框看上去更合理，以更好的欺騙用戶。

=cmd|'/c calc.exe'!A1 =MSEXCEL|'\..\..\..\Windows\System32\cmd.exe /c calc.exe'!''

當用戶打開惡意Excel電子表格時，將出現(xiàn)以下對話框。

第二個formula仍將執(zhí)行代碼，但對話框中的消息內(nèi)容將被修改，此時我們可以看到不再是要求用戶啟動CMD.EXE，而是要求啟動MSEXCEL.exe。

?

Outlook

在Outlook中也有許多可執(zhí)行DDE payload的地方。例如，你已經(jīng)獲取到了域憑據(jù)，則可以更好的偽裝電子郵件發(fā)送給其他用戶，以獲取更多內(nèi)部的shell。

Message

發(fā)送包含DDE的Outlook消息也可以自動執(zhí)行代碼。這同樣適用于以附件形式發(fā)送的電子郵件。

但需要注意的是，因為某些電子郵件服務(wù)器會將所有電子郵件轉(zhuǎn)換為HTML，為了避免我們的DDE payload失效，我們需要將電子郵件以RTF格式發(fā)送。

當用戶打開我們發(fā)送的郵件后，DDE payload將會被執(zhí)行。

Contact

創(chuàng)建新的聯(lián)系人或修改現(xiàn)有的聯(lián)系人，并將DDE payload放入Notes區(qū)域可導(dǎo)致執(zhí)行代碼。

聯(lián)系人需要發(fā)送給目標用戶。

當用戶打開聯(lián)系人時，將執(zhí)行嵌入的DDE payload。

Calendar Invite

同樣，該方法也適用與calendar invitation功能。例如，發(fā)送一個添加了DDE paylaod的會議邀請，一旦目標用戶與其進行了交互（打開或取消），則DDE paylaod就將被執(zhí)行。

?

?

?

?

?

總結(jié)

以上是生活随笔為你收集整理的利用PowerShell Empire实现Word文档DDE攻击控制（简单没啥用）的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。