rubenformation/Office-Intranet-MOTW-Bypass
GitHub: rubenformation/Office-Intranet-MOTW-Bypass
利用 LLMNR 毒化绕过微软 Word 内网 Mark-of-the-Web 保护,使远程模板中的宏代码得以执行。
Stars: 13 | Forks: 1
# Microsoft Word Intranet MOTW 绕过
### 新的未修补 Intranet Mark-of-the-Web 绕过
作者 [Ruben Enkaoua](https://x.com/rubenlabs)
#### 描述
出于安全原因,默认情况下,Microsoft Word 远程获取的模板无法执行宏,无论是从本地网络还是从 Internet 调用 - [来源 (MSDN)](https://learn.microsoft.com/en-us/microsoft-365-apps/security/internet-macros-blocked#files-centrally-located-on-a-network-share-or-trusted-website)
在本地网络中,当 `.dotm` 文档作为模板从本地服务器调用时,宏将被阻止,除非该位置被添加到 Local Intranet 安全区域(这与 `inetcpl.cpl` 中的受信任站点原理相同)。
该 `.dotm` 模板文件来自不受信任的位置(可以是本地网络中的服务器),并且宏被禁用。无论是通过 IP 还是主机名获取,情况都不会改变,文档仍不受信任(在托管模板并通过其主机名查询的 DC 中测试过)。 **但是**,如果 `.docx` 文档使用一个**不存在**的服务器名称查询远程 `.dotm` 模板,它将发出 LLMNR 请求。通过毒化该请求,客户端可以从攻击者控制的服务器检索模板,从而使模板受信任并恢复 `Enable Macros` 按钮。LLMNR 毒化导致服务器被视为受信任,从而允许绕过 Intranet Mark-of-the-Web 并使网络钓鱼能够诱骗受害者执行 VBScript 代码。 注意:即使 `.docx` 文档是从 Internet 下载的,也可以利用此漏洞。 Microsoft Security Response Center 认为此问题不是漏洞。
#### 复现步骤
+ 创建一个新的 Word 文档并转到 Developer 选项卡(如果未启用,可以通过 Options > Customize Ribbon > Enable Developer 完成)。 + 然后在 This Document 下创建一个应用于“This Document”的 VB 宏。该宏将通过 `Document_Open()` 应用于文档 ``` Private Sub Document_Open() Shell "calc.exe", vbNormalFocus End Sub ``` + 将 `.dotm` 模板保存到远程 HTTP 服务器
+ 创建一个简单的 `.docx` Microsoft Word 文件 + 解压它 + 打开 `./word/_rels/settings.xml.rels` 并更改模板地址 ```
```
+ 重新压缩文件。别忘了加回 `.docx` 扩展名。
+ 首先运行 HTTP 服务器,提供模板服务 ``` python3 -m http.server 80 ``` + 在同一台机器上运行 responder 服务器 ``` sudo responder -I eth0 -v ```
打开 `.docx` Word 文件。`Enable Macro` 按钮未被阻止。
#### POC
#### 注意事项
此代码仅用于教育和研究目的。
作者对任何滥用此代码的行为不承担责任。
#### 描述
出于安全原因,默认情况下,Microsoft Word 远程获取的模板无法执行宏,无论是从本地网络还是从 Internet 调用 - [来源 (MSDN)](https://learn.microsoft.com/en-us/microsoft-365-apps/security/internet-macros-blocked#files-centrally-located-on-a-network-share-or-trusted-website)
在本地网络中,当 `.dotm` 文档作为模板从本地服务器调用时,宏将被阻止,除非该位置被添加到 Local Intranet 安全区域(这与 `inetcpl.cpl` 中的受信任站点原理相同)。
该 `.dotm` 模板文件来自不受信任的位置(可以是本地网络中的服务器),并且宏被禁用。无论是通过 IP 还是主机名获取,情况都不会改变,文档仍不受信任(在托管模板并通过其主机名查询的 DC 中测试过)。 **但是**,如果 `.docx` 文档使用一个**不存在**的服务器名称查询远程 `.dotm` 模板,它将发出 LLMNR 请求。通过毒化该请求,客户端可以从攻击者控制的服务器检索模板,从而使模板受信任并恢复 `Enable Macros` 按钮。LLMNR 毒化导致服务器被视为受信任,从而允许绕过 Intranet Mark-of-the-Web 并使网络钓鱼能够诱骗受害者执行 VBScript 代码。 注意:即使 `.docx` 文档是从 Internet 下载的,也可以利用此漏洞。 Microsoft Security Response Center 认为此问题不是漏洞。
#### 复现步骤
+ 创建一个新的 Word 文档并转到 Developer 选项卡(如果未启用,可以通过 Options > Customize Ribbon > Enable Developer 完成)。 + 然后在 This Document 下创建一个应用于“This Document”的 VB 宏。该宏将通过 `Document_Open()` 应用于文档 ``` Private Sub Document_Open() Shell "calc.exe", vbNormalFocus End Sub ``` + 将 `.dotm` 模板保存到远程 HTTP 服务器
+ 创建一个简单的 `.docx` Microsoft Word 文件 + 解压它 + 打开 `./word/_rels/settings.xml.rels` 并更改模板地址 ```
+ 首先运行 HTTP 服务器,提供模板服务 ``` python3 -m http.server 80 ``` + 在同一台机器上运行 responder 服务器 ``` sudo responder -I eth0 -v ```
打开 `.docx` Word 文件。`Enable Macro` 按钮未被阻止。
#### POC
#### 注意事项
此代码仅用于教育和研究目的。
作者对任何滥用此代码的行为不承担责任。
标签:ESC8, LLMNR 中毒, MOTW 绕过, PE 加载器, RFI远程文件包含, VBScript, Web 标记绕过, Windows 安全, 中间人攻击, 宏病毒, 微软 Office, 微软 Word, 数据展示, 模板注入, 社会工程学, 红队, 网络安全, 远程模板, 隐私保护, 零日漏洞