利用Word网页虫追踪攻击者（网络欺骗技术）

大家好！我是John Strand。在本视频中，我们将讨论Word网页虫服务器。Word网页虫服务器的核心思想是创建一个Word文档，每当该文档被打开时，它会实际产生一个回调，使我们能够识别攻击者的IP地址。

Word网页虫的酷炫之处在于，它们不需要启用宏即可触发。事实上，甚至不一定需要打开Microsoft Word。

无需宏！无需Microsoft Word！

接下来，让我们深入了解Word网页虫文档的工作原理。在本视频中，我们使用的是Active Defense Harbinger Distribution（ADHD）。这是我在Wild West Hackin’ Fest（分别在圣地亚哥和南达科他州戴德伍德）的网络欺骗课程中使用的发行版，我也在BlackHat教授该课程的四天版本时使用它。

系统的桌面上有ADHD使用文档，其中包含了操作说明。进入系统后，您可以选择“归因”（attribution），然后选择“网页虫服务器”（Web Bug Server），它将逐步指导您如何使用网页虫服务器。

让我们直接开始吧。

要使此功能正常工作，所有内容都在opt目录中。因此，我将CD到opt目录下的web bug server，然后输入LS。在此目录中，存在许多不同的内容。您首先会注意到的是，我们有许多文档模板。我们有web_bug.doc和web_bug.html。

您需要理解的是，这两者几乎相同。我将在几秒钟内解释原因。

如果我执行ifconfig并获取我的IP地址，您将看到我的ens33适配器的IP地址是192.168.149.128。我将复制该IP地址，因为我们稍后会使用它。然后，我将使用VI打开web_bug.doc。

如果您查看web_bug.doc内部，web_bug.doc实际上包含HTML代码，这很奇怪，因为它是一个doc文件。

在这个特定示例中，如果您在Word中打开此文档，您不会看到HTML、HTML头部和链接URL。您不会看到这些。相反，您只会看到一个空白文档，上面写着“这是一个有问题的文档”，仅此而已。

然而，后台发生的事情非常有趣，因为文字处理器（在这种情况下是Microsoft Word、AbiWord或其他任何工具）会尝试拉取一些HTML元素。它将尝试拉取一个层叠样式表（CSS）。

它还会尝试拉取一个图片源标签。因此，如果您使用ADHD，您需要将此文档中的默认IP地址替换为您的计算机系统的IP地址。现在，如果我们启动AbiWord并打开web_bug.doc，它会显示无法打开，这似乎是一个无效文档。嗯？这很奇怪。但无论它是否显示“这是一个错误”都不重要，因为后台发生的事情非常有趣。

我将向您展示后端数据库，ADHD使用Abminer作为后端数据库。我们将使用用户ID“webbuguser”登录，密码可能是“webbug”或“ADHD”，我不记得具体是哪一个，数据库是“ADHD”，然后是“webbug”。

好了。

顺便说一句，您永远不应该在生产环境中使用此功能。

您将看到请求，如果我选择请求，它将打开实际数据。在这里，您可以看到我已经预先填充的一堆示例。您可以看到LibreOffice打开了，我们获取了IP地址。我们还有之前在一台Windows 10计算机系统上运行的Microsoft Word，正如您所见，用户代理字符串显示它正在建立连接。然后，在最底部，不一定是用户代理字符串，而是我尝试用AbiWord打开此文档的记录。如果您记得，AbiWord抛出了一个错误，但在这种特定情况下，谁在乎呢？因为文档已经向我们作为防御者发出了回调。

此功能的关键在于它实际上以多种不同方式运行。

它将使用图片源标签和层叠样式表。原因是某些文字处理器对图片源标签的处理更好，而其他文字处理器对层叠样式表的处理更好。

希望您在本视频中度过愉快的时光。请务必查看下面的链接，我不常在视频中这样做，但我要说点击那个订阅按钮，因为其他YouTuber都这样做，而且他们似乎在中学生中非常受欢迎。

想要提升技能并从John本人那里学习更多内容？您可以在下面查看他的课程！

• SOC核心技能
• 主动防御与网络欺骗
• 通过BHIS和MITRE ATT&CK入门安全
• 渗透测试入门

提供实时/虚拟和点播版本。