文章总结： 文档分享了一种红蓝对抗中的溯源反制思路，利用Word远程模板注入技术，通过修改docx配置将模板路径指向VPS并设为External模式。该方法无需宏代码，利用合法业务逻辑诱导WINWORD.EXE发起请求，能有效绕过杀软与EDR检测实现零报毒，成功捕获目标真实IP及系统版本信息，具有较高实战价值。 综合评分： 81 文章分类： 红队,实战经验,渗透测试,免杀

溯源反制思路分享 无需宏 0报毒 空白word抓出真实IP

原创

最优解 最优解

琴音安全

2026年3月12日 09:45 河南

现在红蓝对抗里，都知道带有 .docm 或者带宏的附件不能点，杀软和 EDR 也防得死死的。红队现在学精了，连宏都不用了。

    如果我发给你一个 .docx 文件，里面干干净净没有任何代码，杀软 0 报毒。你只要双击打开它（甚至只是用 WPS 预览了一下），你的物理真实 IP、操作系统版本、Office 版本就全到了我的 VPS 上。这个骚操作你学不学？

主要用的技术是，word自带的远程模板注入

直接上干货，怎么制作这个的一个docx，只需简单几步

1.新建一个dotx文件，随便写点东西

2.再建一个docx文件，点击工具-加载项-模板，导入刚刚的dotx

3.把docx后缀改成zip解压后打开demo\word\_rels下的setting文件,修改target的路径为你的vpsip,修改TargetMode=”External”

为什么沙箱和EDR不报毒，主要就是因为 TargetMode="External"

沙箱和 EDR 防的是‘代码执行’，而 TargetMode="External" 玩的是‘信息泄漏’。这里利用了微软官方的合法业务逻辑，让受害者的系统心甘情愿地为我们送上了带指纹的投名状。

有了 External 标签后，发起HTTP GET请求的进程是原生的 WINWORD.EXE 本身！在日常办公中，Word 去连网太正常了，EDR 和沙箱看到 WINWORD.EXE 是向外发出了一个Web请求，既没有派生子进程，也没有往磁盘写可执行文件，更没有修改注册表启动项，他就像一个正常的业务流量

4.选中四个文件，压缩为ZIP再改后缀名

不要直接压缩主文件夹，极易造成wps文件损坏，导致打不开。

现在一份”蓝队”钓鱼文件就做好了。

给大家展示下效果VPS打开监听。双击打开docx

可以看到不但能抓到IP还有UA头的一些信息，写到溯源报告里让客户看，又是加分项。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：琴音安全 最优解 最优解《溯源反制思路分享 无需宏 0报毒 空白word抓出真实IP》