如何利用Microsoft Word中的圖像鏈接進(jìn)行UNC路徑注入滲透，針對這個問題，這篇文章詳細(xì)介紹了相對應(yīng)的分析和解答，希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法。

專注于為中小企業(yè)提供成都網(wǎng)站建設(shè)、成都網(wǎng)站制作服務(wù),電腦端+手機(jī)端+微信端的三站合一,更高效的管理,為中小企業(yè)拉薩免費(fèi)做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都，凝聚了一批互聯(lián)網(wǎng)行業(yè)人才，有力地推動了上1000+企業(yè)的穩(wěn)健成長，幫助中小企業(yè)通過網(wǎng)站建設(shè)實(shí)現(xiàn)規(guī)模擴(kuò)充和轉(zhuǎn)變。

我們都知道Word文檔常會被一些黑客所利用，進(jìn)行各式各樣的入侵活動。而在Web應(yīng)用滲透和紅隊(duì)比賽中，Word文檔也可被用于抓取NetNTLM哈?；蛴脕碜C明網(wǎng)絡(luò)出口過濾不嚴(yán)等問題。在不久前，netbiosX曾在他的博客發(fā)布過一篇關(guān)于通過frameset抓取NetNTLM哈希的文章。本文的核心思路與該文是相同的，只是用了不同的一種方式：即通過一個鏈接插入圖片。

下面將會用到的工具：

Burp Suite Pro (collaborator客戶端)

Inveigh 

Responder (抓取hash)

7zip (提取文檔文件)

圖像鏈接

我們首先打開菜單欄上的“插入”選項(xiàng)卡并單擊“圖片”圖標(biāo)。此時將會彈出資源管理器窗口。在文件名字段中輸入我們的惡意URL，并點(diǎn)擊“插入”下拉菜單選擇“鏈接到文件”。這樣我們就成功插入了一個burp collaborator的鏈接。

如果你的惡意文檔是用于紅隊(duì)或社會工程項(xiàng)目的，那么你還可以通過Layout選項(xiàng)來調(diào)整圖像大小，以提高其隱蔽性。

請確保已將更改保存到文檔中?，F(xiàn)在無論何時打開此文檔，Microsoft Word都會嘗試解析文檔中的圖像鏈接。這些請求都將在Burp Collaborator客戶端中被記錄。

利用UNC路徑注入抓取NetNTLM哈希

同樣，這里我們用到的方法和netbiosX是一樣的，使用7zip提取Word文檔中包含的文件。我們要修改的文件是\your_word_doc.docx\word\_rels\下的document.xml.rels。該文件包含了一系列相互關(guān)聯(lián)的目標(biāo)，我們要做的就是將相關(guān)目標(biāo)值設(shè)置為偵聽主機(jī)的UNC路徑。

保存該文件并使用7zip將其復(fù)制到word文檔中。

一旦用戶打開Word文檔，Inveigh或Responder將會捕獲傳入的身份驗(yàn)證請求。

PS C:\> Invoke-Inveigh -NBNS N -LLMNR N -ConsoleOutput Y -IP 192.168.0.2 
Inveigh 1.3.1 started at 2017-12-19T17:22:26 
Elevated Privilege Mode = Enabled 
WARNING: Windows Firewall = Enabled 
Primary IP Address = 192.168.0.2 
LLMNR Spoofer = Disabled 
mDNS Spoofer = Disabled 
NBNS Spoofer = Disabled 
SMB Capture = Enabled 
WARNING: HTTP Capture Disabled Due To In Use Port 80 
HTTPS Capture = Disabled 
Machine Account Capture = Disabled 
Real Time Console Output = Enabled 
Real Time File Output = Disabled 
WARNING: Run Stop-Inveigh to stop Inveigh Press any key to stop real time console output
 
2017-12-19T17:23:19 SMB NTLMv2 challenge/response captured from 192.168.0.3(DESKTOP-2QRDJR2): 
Administrator::DESKTOP-2QRDJR2:57[TRUNCATED]cb:091[TRUNCATED]5BC:010[TRUNCATED]02E0032002E00310038003200000000000000000000000000

這種方法的一個主要有點(diǎn)是，其隱蔽性非常的高。一旦文檔被打開就會發(fā)出請求，且不會向用戶顯示和提醒可能的惡意URL或UNC路徑。

使用PowerShell枚舉關(guān)聯(lián)目標(biāo)

上面用到的方法很簡單，但卻非常的有效，這是因?yàn)槲覀兝昧薓icrosoft Office中的可信功能。接下來我將介紹兩種簡單的枚舉關(guān)聯(lián)目標(biāo)的方法，這里將不會用到7zip。當(dāng)然也有很多優(yōu)秀的取證工具可以完成這些任務(wù)，如Yara。

Word.Application COM對象可被用于訪問Word文檔的內(nèi)容。這可以通過幾個簡單的命令來實(shí)現(xiàn)。WordOpenXML屬性包含文檔中的關(guān)聯(lián)。

$file = "C:\path\to\doc.docx"
$word = New-Object -ComObject Word.Application
$doc = $word.documents.open($file)
$xml = New-Object System.XML.XMLDocument
$xml = $doc.WordOpenXML
$targets = $xml.package.part.xmlData.Relationships.Relationship
$targets | Format-Table
$word.Quit()

這將成功枚舉文檔中的所有關(guān)聯(lián)的目標(biāo)。這里的問題是，當(dāng)使用Word.Application COM對象時，將啟動Word進(jìn)程并解析URL/UNC路徑。

為了避免這種情況，我們可以使用DocumentFormat.OpenXML庫并枚舉文檔中所有的外部關(guān)聯(lián)。在測試中使用該方法，并沒有捕獲collaborator請求或身份驗(yàn)證請求。

[System.Reflection.Assembly]::LoadFrom("C:\DocumentFormat.OpenXml.dll")
$file = "C:\path\to\doc.docx"
$doc = [DocumentFormat.OpenXml.Packaging.WordprocessingDocument]::Open($file,$true)
$targets = $doc.MainDocumentPart.ExternalRelationships
$targets
$doc.Close()

更進(jìn)一步，DeleteExternalRelationship方法將通過提供關(guān)聯(lián)id來移除與外部URL的關(guān)系。

$doc.MainDocumentPart.DeleteExternalRelationship("rId4")

關(guān)于如何利用Microsoft Word中的圖像鏈接進(jìn)行UNC路徑注入滲透問題的解答就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，如果你還有很多疑惑沒有解開，可以關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道了解更多相關(guān)知識。