文章总结： 本文介绍一种利用Word远程模板注入的溯源反制技术，通过创建包含外部模板引用的docx文件，在用户打开文档时自动向攻击者VPS发送真实IP地址和系统指纹信息。该技术利用TargetMode=External参数使WINWORD.EXE直接发起HTTP请求，绕过沙箱和EDR检测。文章详细提供了制作步骤：创建dotx模板文件、在docx中引用模板、修改XML设置指向攻击者IP、重新打包为docx文件，并展示了实际获取的IP和UA头信息效果。 综合评分： 75 文章分类： 红队,渗透测试,漏洞分析,内网渗透,社会工程学

溯源反制思路分享 无需宏 0报毒 空白word抓出真实IP

XK Team

2026年3月12日 11:11 山东

在小说阅读器读本章

去阅读

以下文章来源于琴音安全 ，作者最优解

琴音安全 .

专注于红蓝对抗、Web渗透测试、内网渗透、SRC挖掘思路分享以及原创工具分享等。

现在红蓝对抗里，都知道带有 .docm 或者带宏的附件不能点，杀软和 EDR 也防得死死的。红队现在学精了，连宏都不用了。

    如果我发给你一个 .docx 文件，里面干干净净没有任何代码，杀软 0 报毒。你只要双击打开它（甚至只是用 WPS 预览了一下），你的物理真实 IP、操作系统版本、Office 版本就全到了我的 VPS 上。这个骚操作你学不学？

主要用的技术是，word自带的远程模板注入

直接上干货，怎么制作这个的一个docx，只需简单几步

1.新建一个dotx文件，随便写点东西

2.再建一个docx文件，点击工具-加载项-模板，导入刚刚的dotx

3.把docx后缀改成zip解压后打开demo\word\_rels下的setting文件,修改target的路径为你的vpsip,修改TargetMode=”External”

为什么沙箱和EDR不报毒，主要就是因为 TargetMode="External"

沙箱和 EDR 防的是‘代码执行’，而 TargetMode="External" 玩的是‘信息泄漏’。这里利用了微软官方的合法业务逻辑，让受害者的系统心甘情愿地为我们送上了带指纹的投名状。

有了 External 标签后，发起HTTP GET请求的进程是原生的 WINWORD.EXE 本身！在日常办公中，Word 去连网太正常了，EDR 和沙箱看到 WINWORD.EXE 是向外发出了一个Web请求，既没有派生子进程，也没有往磁盘写可执行文件，更没有修改注册表启动项，他就像一个正常的业务流量

4.选中四个文件，压缩为ZIP再改后缀名

不要直接压缩主文件夹，极易造成wps文件损坏，导致打不开。

现在一份”蓝队”钓鱼文件就做好了。

给大家展示下效果VPS打开监听。双击打开docx

可以看到不但能抓到IP还有UA头的一些信息，写到溯源报告里让客户看，又是加分项。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：XK Team 《溯源反制思路分享 无需宏 0报毒 空白word抓出真实IP》