追踪攻击者：利用Word网页虫（网络欺骗）

大家好！我是John Strand。在本视频中，我们将讨论Word网页虫服务器。Word网页虫服务器的核心思想是创建一个Word文档，每当该文档被打开时，它会实际生成一个回调，使我们能够识别攻击者的IP地址。

Word网页虫的酷炫之处在于它们不需要启用宏即可触发。事实上，攻击者甚至不一定需要打开Microsoft Word。

无需宏！无需Microsoft Word！

那么，让我们实际看看Word网页虫文档是如何工作的。在本视频中，我们使用Active Defense Harbinger Distribution（ADHD）。这是我在Wild West Hackin’ Fest（分别在圣地亚哥和南达科他州Deadwood举办）的网络欺骗课程中使用的发行版，我也在BlackHat教授该课程的四天版本时使用它。

说明位于系统桌面上的ADHD使用文档中。进入系统后，您可以选择“归因”（attribution），然后选择“网页虫服务器”（Web Bug Server），它将带您逐步了解如何使用网页虫服务器。

让我们直接开始吧。

要使此功能正常工作，所有内容都在opt目录中。因此，我将CD到opt，进入web bug server，然后输入LS。在此目录中，存在许多不同的内容。您首先会注意到的是我们有许多文档模板。我们有web_bug.doc和web_bug.html。

您需要理解的是，这两者几乎相同。我将在几秒钟内解释原因。

如果我执行ifconfig并获取我的IP地址，您将看到我的ens33适配器的IP地址是192.168.149.128。因此，我将复制该IP地址，因为我们稍后将使用它。然后，我将使用VI打开web_bug.doc。

如果您查看web_bug.doc内部，web_bug.doc实际上包含HTML代码，这很奇怪，因为它是一个doc文件。

在这个特定示例中，如果您在Word中打开此文档，您不会看到HTML、HTML头部和链接URL。您不会看到这些。相反，您会看到一个空白文档，上面写着“这是一个有虫的文档”，仅此而已。

然而，后台发生的事情非常有趣，因为后台发生的是字处理器（在这种情况下是Microsoft Word或AbiWord或其他任何工具）将尝试拉取一些HTML元素。它将尝试拉取一个层叠样式表（CSS）。

它还将尝试拉取一个图像源标签。因此，如果您使用ADHD，您将替换此文档中的默认IP地址为您的计算机系统的IP地址。现在，如果我们启动AbiWord并打开web_bug.doc，它会说无法打开，这似乎是一个无效文档。嗯？这很奇怪。但无论它是否显示“这是一个错误”都不重要，因为后台发生的事情非常有趣。

因此，我将向您展示后端数据库，ADHD使用Abminer作为后端数据库。我们将使用用户IDwebbuguser登录，密码我认为是webbug或ADHD，记不清了，ADHD，然后是数据库webbug。

好了。

顺便说一句，您永远不应该在生产环境中使用此功能。

您将看到请求，如果我选择请求，它将打开实际数据。在这里，您可以看到我已经预先填充的一堆示例。您可以看到LibreOffice打开了，我们获取了IP地址。我们还有来自Windows 10计算机系统上较早运行的Microsoft Word，正如您在此用户代理字符串中看到的，它正在建立连接。然后，在底部这里，不一定是用户代理字符串，而是我尝试用AbiWord打开此文档的记录。如果您记得，AbiWord抛出了一个错误，但在这种特定情况下，谁在乎呢，因为文档已经作为防御者向我们进行了回调。

此功能的关键在于它实际上以多种不同方式运行。

它将使用图像源标签和层叠样式表。原因是有些字处理器更擅长处理图像源标签，而其他字处理器更擅长处理层叠样式表。

希望您在本视频中玩得开心。请务必查看下面的链接，我不常在视频中这样做，但我要说点击那个订阅按钮，因为其他YouTuber都这样做，而且他们似乎在中学生中非常受欢迎。