利用DOCX文档远程模板注入执行宏
原理:
与传统的宏启用文档相比,这种攻击的好处是多方面的。在对目标执行网络钓鱼攻击时,您可以将.docx的文档直接附加到电子邮件中,并且您不太可能根据文件的拓展名去阻止它。
Word远程模板执行宏就是利用Word文档加载附加模板时的缺陷所发起的恶意请求而达到的攻击目的,所以当目标用户点开攻击者发给他的恶意word文档就可以通过向远程服务器发送恶意请求的方式,然后加载模板执行恶意模板的宏。
这种攻击更常见的原因是,发送的文档本身是不带恶意代码的,能过很多静态的检测。
环境
两个word文档
- 第一个是启用宏的模板,或是.dotm文件,它将包含恶意VBA宏
- 第二个是看似没有危害的.docx文件,它本身不包含恶意代码,只有指向恶意模板文件的目标链接
- cobalt strike
利用
- 直接用的cobalt strike生成的宏代码
- 就不啰嗦了
- 自行测试宏是否生效
- 生成一个正常的docx文件,内容根据实际需求进行编造,保存后将后缀改成zip
- 将其解压,修改./word/_rels/下的settings.xml.rels文件,没有的话可以自己添加。
- 修改内容如下:
<Relationship Id="rId6" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/attachedTemplate" Target="fontTable.xml"/></Relationships>
包含带有attachmentTemplate的Type的Relationship标记,是告诉Word打开该.docx时从哪里加载模板的设置,我们可以将Target值修改为远程位置。
- 最后保存后重新压缩成zip,并修改后缀为docx,执行测试,能返回
