利用PowerShell Empire实现Word文档DDE攻击控制

2018-02-26 17:06:57 浏览数 (1)

近期,有安全人员发现了一种DynamicData Exchange (DDE)协议绕过MSWord和MSExcel宏限制,不需使用MSWord和MSExcel漏洞,就能实现在Office文档中执行恶意命令目的。在这篇文章中,我将展示如何利用基于Empire的PowerShell来对Word文档进行“伪装”攻击,可能还有其它实现方法,我仅作个抛砖引玉。

创建Empire Listener

创建一个Empire Listener监听线程,可点此查看Empire的使用说明。

当监听线程启动运行之后,运行以下命令,生成将要在目标受害机器上执行的PowerShell代码:

launcher powershell C2

复制powershell -noP -sta -w 1 -enc之后的转码脚本并另存为一个文件,然后把它部署于某个攻击需要用到的Web服务器中,用于受害主机稍后的请求下载。该Web服务器可以是Apache之类的,但在这里,我用Python SimpleHTTPServer模块来快速启动一个Web服务,它会自动托管你启动命令目录内的文件,当然最好可以创建一个文件目录,然后通过终端cd到其中进行文件生成(我这里是evil)和启动Web服务。(Python的Web服务默认监听端口为8000)

python -m SimpleHTTPServer

改装Word文档

创建一个可以利用DDE攻击的Word文档:生成一个Word文档,点击空白区域,点击插入标签,点击文档部件(Quick Parts),然后点击域(Field):

然后在下面这选择= (Formula),点击OK:

在生成的内容上面,右键点击切换域代码(Toggle Field Codes):

之后,在其中插入以下DDEAUTO代码,但务必监听端的IP和端口正确:

现在就可以保存该文档,准备把它发送给目标受害者了。

攻击测试

一旦受害者点击打开该文档,会跳出几个错误,可以配合社工技巧来迷惑用户来点击Yes。可以修改这些错误消息更直观好看一点,例如有一些测试人员就把它修改为’Symantec Document Encryption’。

一旦受害者把所有错误消息都点击了Yes之后,在我们的监听端就会反弹回一个Empire的控制连接,对受害者系统形成远程控制:

0 人点赞