通过对Office可以引用局域网中的某台机器上的共享模版这一功能进行测试分析发现,如果把模版文件替换成一个恶意的文档,比如带有宏病毒或者带有漏洞的文档,那么,在局域网中的其他机器上打开引用了模版文件的正常文档的话,里面的漏洞可以触发执行,捆绑的恶意代码也会跟着执行。因此,可以利用这种方法来对内网进行渗透攻击。
攻击者在拿下的WEB服务器上建立共享目录,在共享目录下放置带有漏洞的文档作为后续需要使用的模版文件
伪造邮件,在邮件附件中带上正常的但是引用了WEB服务器上的模版文件,然后把邮件发出去
邮件中的附件在内网中的机器上被打开浏览
附件引用了带有漏洞的模版,恶意代码得以执行,最后电脑可以被攻击者控制,可能导致敏感信息泄漏
综上,利用微软的Office模版可以共享来进行内网渗透这种方法最主要的优点就是隐蔽性强,由于恶意的文件跟实际收到的文件处于两个不一样的空间纬度,这只有在打开浏览文档后才会把两个文件联系起来形成组合式的攻击,这样的话,杀毒软件通过静态扫描附件的话是不容易发现的,因为收到的文件本身是正常的,这样的文件也会更加被我们所信任。
当然,上面的思路是在理想的情况下进行的,实际应用中还需按需调整。
