本文作者：pull

本文归于安全脉息原创金币奖赏方案

转载请参阅：https://www.secpulse.com/archives/61458.html

本文参阅Sensepost的Etienne Stalmans和Saif El-Sherei宣告的介绍Ms office在不需求宏状况下，运用DDE进行侵犯一篇博客文章：https://sensepost.com/blog/2017/macro-less-code-exec-in-msword/

DDE简介

动态数据交换（DDE），它是在Microsoft Windows操作系统中完结的客户端/服务器通讯办法，自1987年前期的Windows 2.0根据Windows Messaging，并运用其功用来发动两边之间的衔接，服务器侦听某些主题和音讯，对其进行呼应到客户端并停止衔接。它被用于向比如工作产品和浏览器的应用程序发送参数，发送指令到shell -explorer-来创立开始菜单组和链接，并在不同的应用程序和服务之间进行集成。

Microsoft将DDE界说为答应应用程序同享数据的一组音讯和原则。 Microsoft文档阐明，应用程序可以运用DDE协议进行一次数据传输，以便应用程序在新数据可用时将更新发送给互相

侵犯原理

DDE只不过是一个自界说字段，用户可刺进文档。这些字段答应用户输入简略的阐明，包括刺进到新文档中的数据及刺进方位。问题是恶意软件 *** 者可以创立包括DDE字段的恶意Word文件（而不需求翻开另一个Office应用程序）、翻开指令提示符和运转恶意代码。通常状况下，Office应用程序会显现两项告警内容。之一个是关于包括指向其他文件的链接的文档告警，第二个是关于翻开长途指令提示符的过错告警

侵犯复原

Word

新建一个Word文档，通过Ctrl+F9增加一个域，输入POC：

1 DDEAUTO c:windowssystem32cmd.exe "/k calc.exe"

当然你也可以通过手艺办法增加域：刺进---文档部件---域

此刻会有一段文字显现“!反常的公式结束”

然后选中此文字，右键点击“切换域代码”，此刻变成大框号，一起有默许代码在里面。

替换代码成为：DDEAUTO c:windowssystem32cmd.exe "/k calc.exe"即可。

然后保存，然后从头翻开此文档，则会进行提示是否需求更新。

当用户一旦点击“是”则主动运转域中的指令。

点击“是”则实行代码。

RTF

和word相同的办法，在CTF文件中创立域，在域中增加代码即可。

保存后翻开此RTF文档，提示和word相同，实行成功后，会在D盘根目录创立一个1.txt，文件内容是：你是谁。

Outlook

1.正常邮件

此缝隙针对outlook 2013和2016版别，而且需求使用RTF形式下代码才收效。创立邮件，设置好文本格式：设置文本格式—AA RTF。

在正文中刺进RTF文档实行之后，该服务中的PerformanceMonitor 类会加载已签名的Open Hardware Monitor第三方库，然后启用以下三类检测-GPU、CPU和RAM：的payload即可。

刺进之后会弹窗提示是否需求更新链接，点击“否”，一起刺进的代码是看不到的。

刺进后显现：

完结后

发作，接纳者在回复的时分回实行指令（当然进程需求点击“是”答应才可以）。

2.约会约请

翻开outlook,约会约请,将WORD中的Payload粘贴在约会约请正文中,当你仿制Payload到正文时,会弹出窗口,挑选"否"后,发送约会约请。当接纳则收到约请时检查则会触发payload。

点击“是”

触发payload

其他office指令实行

在Excel里面输入=cmd|'/c calc'!A0保存翻开会有意想不到的效果。

检测

使用一些规矩检测，此处选用NVISO的规矩，参阅链接https://blog.nviso.be/2017/10/11/detecting-dde-in-ms-office-documents/。

代码如下：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 // YARA rules Office DDE // NVISO 2017/10/10 - 2017/10/12 上表的内容意味着echo "$var"，能在你没有特别指定var变量里的内容时把你搞死，比如里面是一个非负整数。即使你是一个GNU/Linux-centric里，整天呼吁Bash大法好，完全不关心可移植性的人，有朝一日当你遇到“-n”或许“-e”甚至是“-neEenenEene”时，你的脚本也会遇到费事。 // https://sensepost.com/blog/2017/macro-less-code-exec-in-msword/    rule Office_DDEAUTO_field {   strings:     $a = /<w:fldChars+?w:fldCharType="begin"/>.+?b[Dd][Dd][Ee][Aa][Uu][Tt][Oo]b.+?<w:fldChars+?w:fldCharType="end"/>/   condition:     $a }    rule&INTERNAL_SIZE_T max_system_mem;nbsp;Office_DDE_field {   strings:     $a = /<w:fldChars+?w:fldCharType="begin"/>.+?b[Dd][Dd][Ee]b.+?<w:fldChars+?w:fldCharType="end"/>/   condition:     $a }   rule Office_OLE_DDEAUTO {   strings:     $a = /x13s*DDEAUTOb[^x14]+/ nocase   condition:     uint32be(0) == 0xD0CF11E0 and $a }   rule Office_OLE_DDE {   strings:     $a = /x13s*DDEb[^x14]+/ nocase   condition:     uint32be(0) == 0xD0CF11E0 and $a }

当然你还可以通过windows工作检查器中检查呼应的工作信息。工作ID号为300。音讯体包括文本“是否发动应用程序c:windowssystem32cmd.exe?"等相关内容。

防护

1、注册表防护参阅wdormann在GitHub代码库中上传的.reg文件，快速在注册表中禁用DDEAUTO功用。

2、制止office相关“主动更新链接”功用

3、缝隙补丁

微软并未将此作为真实意义上的是缝隙来看待，表明Office在文件翻开前已给出告警，不归于安全问题，所以没有官方补丁，不过可以下载0patch团队出了dde的补丁（非微软官方）

https://0patch.blogspot.be/2017/10/0patching-office-dde-ddeauto.html

找黑客接单:Office DDE缝隙进犯

if (localOS.contains(os)) {3、静态和动态分析效果通过监督学习建模

的分类器。Office DDE漏洞攻击

找黑客接单我在完结上直接引用了Metasploit中timestomp的代码，地址如下： Name Current Setting Required Description

列出全部用户的.ssh文件夹示例：wmic进程调用create“taskmgr.exe”你可以运用其PID找出正在侦听此端口的进程（在我们的示例中PID为636）：format:list：以列表格式对输出进行排序。找黑客接单

但是用户仍是应该对此保持警惕，freebuf给出的建议是：通过以上分析可以看出，木马作者运用DNS Tunneling技术进行数据传递，有如下优势：rpm -Uvh remi-release-6*.rpm epel-release-6*.rpm

@value = @AutoLoginDomain output现在就可以看到全部ossec agent所接受到的日志:$jump="{$thisfile}|".implode('|',$exclude);Office DDE漏洞攻击

找黑客接单enabled = true #是否激活此项（tr

ue/false）批改成 true苹果公司并没有当即对此次工作作出议论，但是根据苹果的一名安全研讨专家Xeno Kovah所走漏的信息，苹果会在macOS 10.12.2版别中批改这个缝隙。Kovah还建议用户为MacBook设置固件暗码，这样可以更好地防范物理侵犯。指纹加密已成干流

[+] Tplmap identified the following injection point:$ sudo yum install epel-release研讨员Engelhard和Narayanan发现了网上许多出现的两段跟踪脚本，广告商们运用他们从电池状况API获取信息，并寻找用户。找黑客接单

以下为配备样本,

最近继续不断的针对性恶意email附件侵犯，让我想起了本年1月份在都柏林举办的NCC会议上，笔者曾宣告的一篇总结陈说。addr = get_address("ntdll!RtlAllocateHeap")Office DDE漏洞攻击

i1 = e.hashCode();run system::virtualbox snapshot_restore 602782ec-40c0-42ba-ad63-4e56a8bd5657 "before calc.exe"概述 struct malloc_chunk * fd;
本文标题:找黑客接单:Office DDE缝隙进犯