利用Word网页漏洞追踪攻击者（网络欺骗技术）

大家好！我是John Strand，在本视频中，我们将讨论Word网页漏洞服务器（Word Web Bug Servers）。Word网页漏洞服务器的核心思想是创建一个Word文档，每当该文档被打开时，它会实际生成一个回调，使我们能够识别攻击者的IP地址。

Word网页漏洞的酷炫之处在于它们不需要启用宏即可触发。事实上，它们甚至不一定需要打开Microsoft Word。

无需宏！无需M$ Word！

那么，让我们实际了解一下Word网页漏洞文档的工作原理。在本视频中，我们使用主动防御先驱分发版（Active Defense Harbinger Distribution）。这是我在Wild West Hackin’ Fest（分别在圣地亚哥和南达科他州Deadwood举办）的网络欺骗课程中使用的分发版，我也在BlackHat教授该课程的四天版本时使用它。

说明位于系统桌面上的ADHD使用文档中。进入后，您可以选择“归因”（attribution），然后选择“网页漏洞服务器”（Web Bug Server），它将带您逐步了解如何使用网页漏洞服务器。

让我们直接开始吧。

要使此功能正常工作，所有内容都在opt目录中。因此，我将CD到opt，进入web bug server，然后输入LS。在此目录中，存在许多不同的内容。您首先会注意到的是我们有许多文档模板。我们有web_bug.doc和web_bug.html。

您需要理解的是，这两者几乎相同。我将在几秒钟内解释原因。

如果我执行ifconfig并获取我的IP地址，您将看到我的ens33适配器的IP地址是192.168.149.128。因此，我将复制该IP地址，因为我们稍后将使用它。然后，我将使用VI打开web_bug.doc。

如果您查看web_bug.doc内部，web_bug.doc实际上包含HTML代码，这很奇怪，因为它是一个doc文件。

在这个特定示例中，如果您在Word中打开此文档，您不会看到HTML、HTML头以及链接URL。您不会看到这些。相反，您会看到一个空白文档，上面写着“多么漏洞百出的文档”，仅此而已。

然而，后台发生的事情非常有趣，因为后台发生的是字处理器（在这种情况下是Microsoft Word或AbiWord或其他任何工具）将尝试拉取一些HTML元素。它将尝试拉取一个级联样式表（cascading style sheet）。

它还将尝试拉取一个图像源标签（image source tag）。因此，如果您使用ADHD，您将替换此文档中的默认IP地址为您的计算机系统的IP地址。现在，如果我们启动AbiWord并打开web_bug.doc，它会说无法打开，这似乎是一个无效文档。嗯？这很奇怪。但无论它是否显示“嘿，这是一个错误”都不重要，因为后台发生的事情非常有趣。

因此，我将向您展示后端的数据库，ADHD使用Abminer作为后端数据库。我们将使用用户ID webbuguser登录，密码我认为是webbug或ADHD，记不清了，ADHD，然后数据库是webbug。

好了。

顺便说一句，您永远不应该在生产环境中使用此功能。

您将看到请求，如果我选择请求，它将打开实际数据。在这里，您可以看到我已经预先填充的一堆示例。您可以说LibreOffice打开了，我们获取了IP地址。我们还有来自早期在Windows 10计算机系统上运行的Microsoft Word，正在建立连接，正如您可以看到此用户代理字符串。然后，在底部这里不一定是用户代理字符串，但这是我尝试用AbiWord打开此文档的记录。如果您记得AbiWord抛出了一个错误，但在此特定场景中，谁在乎呢，因为文档已经向我们作为防御者进行了回调。

此功能的关键在于它实际上以多种不同方式运行。

它将使用图像源标签和级联样式表。原因是有些字处理器更擅长处理图像源标签，而其他字处理器更擅长处理级联样式表。

因此，我希望您在本视频中玩得开心。请务必查看下面的链接，我不常在视频中这样做，但我要说点击那个订阅按钮，因为其他YouTuber这样做，而且他们似乎在中学生中非常受欢迎。

想要提升技能并从John本人那里学习更多内容？您可以在下面查看他的课程！

• SOC核心技能
• 主动防御与网络欺骗
• 从BHIS和MITRE ATT&CK开始安全之旅
• 渗透测试入门

提供实时/虚拟和点播形式。