通過Microsoft Office竊取NTLM Hashes

發表於2017-12-20 |分類於奇技淫巧

之前有人總結了很多種竊取NTLM hash的方法，原文，譯文。裡面寫的方法已經很多了，最近從這裡又學到了一個新的方法，所以在這裡進行一下分享，也算是一個補充。

歷史上，Microsoft Word被用作HTML編輯器。這意味著它可以支持HTML元素，例如框架集。囙此，可以將Microsoft Word檔案與UNC路徑連結起來，並將其與響應程式結合，以便從外部捕獲NTLM雜湊值。帶有docx副檔名的Word檔案實際上是一個包含各種XML檔案的zip檔案。這些XML檔案正在控制主題，字體，檔案的設定和Web設定。

所以我們可以新建一個任意檔案，並用壓縮包來打開他。

在word目錄下有一個webSettings.xml。我們對這個檔進行修改，添加以下程式碼則會創建與另外一個檔案的連結。

最終修改後的webSettings.xml如下：

現在我們把新的webSettings.xml替換原來的webSettings.xml，之後在word目錄下的_rels目錄創建一個新的檔案webSettings.xml.rels，檔案內容如下：

在這裡包含了UNC路徑。指向我們的Responder。

之後把檔案重新命名為docx。開啟Responder

打開word，則可獲取到hash

當然，使用DDE的管道以及CVE-2017-0199等其他的管道都是可以的。