1. Набираем команду codeby webinar. Набираем команду для организации и проведения вебинаров. Подробнее ...

    Скрыть объявление
  2. Требуются разработчики и тестеры для проекта codebyOS. Требования для участия в проекте: Знание принципов работы ОС на базе Linux; Знание Bash; Крайне желательное знание CPP, Python, Lua; Навыки системного администрирования. Подробнее ...

    Скрыть объявление
  3. Получи 30.000 рублей. Для получения денег необходимо принять участие в конкурсе авторов codeby. С условиями и призами можно ознакомиться на этой странице ...

    Внимание! Регистрация авторов на конкурс закрыта.

    Скрыть объявление

DDE на замену макросам.

Тема в разделе "Этичный хакинг и тестирование на проникновение", создана пользователем IioS, 14 окт 2017.

  1. IioS

    IioS Well-Known Member
    Red Team

    Репутация:
    6
    Регистрация:
    9 июн 2017
    Сообщения:
    147
    Симпатии:
    236
    Предыстроия простая, посматривая просторы интернета, наткнулась на статью тут:
    она декламирует что есть способ по создание метода который вытеснит макросы, и я загорелась желанием узнать способ создание. О своем опыте и будет эта статья.

    DDE – это Microsoft Dynamic Data Exchange, позволяет выстаивать кастомное поле, в нем и создастся путь для подгружать данные из других приложений семейства Microsoft.

    Протокол DDE представляет собой набор сообщений и рекомендаций. Он отправляет сообщения между приложениями, которые использует общую память для обмена данными. Приложения могут использовать протокол непрерывного обмена, когда приложения отправляют обновления друг другу по мере поступления новых данных.

    Использование DDE в Excel или Word для вредоносных целей может быть весьма полезным, потому что макросы могут быть отфильтрованные почтовыми шлюзами и корпоративной политикикой VBA. Кроме того использование DDE в MSWord так же просто, как добавление поля и выполнение следующего:

    1 шаг - Тык на: «Вставить», «Быстрые элементы», «Поле»:
    DDE на замену макросам.

    2 шаг - Мы выбрали «= (Формула)» и Ok:
    DDE на замену макросам.



    3 шаг - После этого мы увидим поле, вставленное в документ, с ошибкой «Ошибка в формуле». Щелкните правой кнопкой мыши по полю и выберите «Включить или отключить коды полей»
    DDE на замену макросам.

    4 шаг - Получаем это:
    DDE на замену макросам.

    5 шаг - Мы должны изменить на следующее то что было на это:


    Теперь мы сохраняем документ как обычный «.docx» и открываем его на любом компьютере. Первое предостережение - обновить ссылки на документы, там ничего злонамеренного.

    6 шаг - Открывается пару окон, мы тыкаем да, да, и у нас открывается консоль, и она уже открывает то что мы хотим, в нашем случае калькулятор.

    DDE на замену макросам.

    Теперь разберем выхлоп: Первое предостережение - обновить ссылки на документы, там ничего злонамеренного.
    Второе - приглашение - запрашивает у пользователя, следует ли запускать указанное приложение, это можно рассматривать как предупреждение о безопасности, поскольку оно предлагает пользователю запустить «cmd.exe», однако с соответствующей модификацией синтаксиса вы можете скрыть ...

    То же самое можно достичь с помощью идентификатора поля «DDE»:
    Код:
    {DDE "c:\\windows\\system32\\cmd.exe" "/c notepad"}
    Но в этом случае нам придется изменить .docx, чтобы включить автоматическое обновление ссылок. Для этого распакуйте файл .docx, отредактируйте word/settings.xml и вставьте следующий тег XML:

    Затем мы сохраняем файл конфигурации и обновляем файл. Когда вы откроете его, Word предложит вам обновить ссылки с помощью немного другого приглашения, чем раньше, но с тем же результатом, что и DDEAUTO.
    И самое лучшее, никаких макросов, никаких предупреждений о безопасности, что САМОЕ главное.

    Спасибо за внимание и до новых встреч.
    ps - надеюсь картинки нормально отобразятся :)
    pss - а приветствие в конце, спасибо что остались до этих строк!
     
    PingVinich, _Eliot_, valerian38 и 20 другим нравится это.
  2. Breed

    Breed Well-Known Member

    Репутация:
    1
    Регистрация:
    18 июн 2017
    Сообщения:
    221
    Симпатии:
    236
    А MS не считает это опасностью и даже не чешется исправлять этот косячок! :)

    Так что, скорее всего, этот вариант можно будет эксплуатировать в различных вариациях очень долго.
     
  3. IioS

    IioS Well-Known Member
    Red Team

    Репутация:
    6
    Регистрация:
    9 июн 2017
    Сообщения:
    147
    Симпатии:
    236
    Забыла добавить! Палевность в DDE очень маленькая.
    DDE на замену макросам.
     
  4. LoRaX

    LoRaX New Member

    Репутация:
    0
    Регистрация:
    25 янв 2017
    Сообщения:
    1
    Симпатии:
    0
    Действительно интересный метод, спасибо :D
     
  5. Inject0r

    Inject0r Well-Known Member

    Репутация:
    1
    Регистрация:
    3 сен 2016
    Сообщения:
    112
    Симпатии:
    165
    Самое главное, что касперский сразу палит вирус в файлике. И судя по скрину выше все остальные топовые антивирусники - полная фигня.
     
  6. SooLFaa

    SooLFaa Инквизитор
    ELEET

    Репутация:
    6
    Регистрация:
    15 июл 2016
    Сообщения:
    467
    Симпатии:
    744
    Отлично статья. Вот пример хорошей качественной статьи. Есть описание о чем речь. Тема хорошо названа. Есть четкий алгоритм действий. Супер вообщем. Единственное. Зачем под хайд класть это "Альтернативный метода мы можем просто добавить поле, нажав CTRL + F9"? П.С. Репой поделился.
     
  7. IioS

    IioS Well-Known Member
    Red Team

    Репутация:
    6
    Регистрация:
    9 июн 2017
    Сообщения:
    147
    Симпатии:
    236
    Очень благодарна.
    Почему-то захотелось под хайд, хотя он доступен любому кто уделил 2 минуты на регестрацию, но я на будущие учту.
     
  8. Underwood

    Underwood Well-Known Member
    Grey Team

    Репутация:
    5
    Регистрация:
    10 ноя 2016
    Сообщения:
    75
    Симпатии:
    243
    Vertigo, ghostphisher, Inject0r и 4 другим нравится это.
  9. ☠xrahitel☠

    ☠xrahitel☠ Active Member

    Репутация:
    0
    Регистрация:
    9 дек 2016
    Сообщения:
    31
    Симпатии:
    28
    статья вышла раньше и лежит на всех бордах новостных sensepost.com
     
  10. IioS

    IioS Well-Known Member
    Red Team

    Репутация:
    6
    Регистрация:
    9 июн 2017
    Сообщения:
    147
    Симпатии:
    236
    Я не позиционировала этот метод как уникальный, а как свой опыт, все было так как я описала в начале, увидела что есть такой способ, нашла его реализацию, и решила описать это тут.
     
    Underwood, ☠xrahitel☠, TrevorReznik и ещё 1-му нравится это.
  11. SooLFaa

    SooLFaa Инквизитор
    ELEET

    Репутация:
    6
    Регистрация:
    15 июл 2016
    Сообщения:
    467
    Симпатии:
    744
    Главное не копипаст. Видна работа автора. Но если бы довела до РЦЕ поставил бы два плюсика но и без этого годнота.
     
  12. ☠xrahitel☠

    ☠xrahitel☠ Active Member

    Репутация:
    0
    Регистрация:
    9 дек 2016
    Сообщения:
    31
    Симпатии:
    28
    да у меня не было умысла в чем-то изобличать автора,на оборот поддерживаю что хайд не влепила до потолка :)
     
  13. tumm

    tumm Member
    Премиум

    Репутация:
    0
    Регистрация:
    10 окт 2017
    Сообщения:
    13
    Симпатии:
    5
    Можно пожалуйста поподробней-как поменять сообщения при открытии документа.
     
  14. SooLFaa

    SooLFaa Инквизитор
    ELEET

    Репутация:
    6
    Регистрация:
    15 июл 2016
    Сообщения:
    467
    Симпатии:
    744
    Завтра дополню тему полезной нагрузкой
     
  15. Dmitry88

    Dmitry88 Well-Known Member

    Репутация:
    0
    Регистрация:
    29 дек 2016
    Сообщения:
    107
    Симпатии:
    104
    C word'ом получилось скрыть строку с вызовом cmd. А что делать с excel ? Поля та там обрабатываются нормально. Вызов powershell с invoke webrequest тоже. Но вот окно с вызовом cmd не нашел где убрать.

    ПС: Может обновлять этот пост, что бы не пилить новые ?
    --- Добавлено 25 окт 2017. Первое сообщение размещено 18 окт 2017 ---
    Удалось выполнить скачивание и запуск exe. К сожалению много ругани и всплывающих окон.


    PS: Подскажите по шифрованию строки в base64. У меня упорно PS на синтаксис ругается. (PS 4.0)
     
    IioS нравится это.
  16. Antisocial

    Antisocial New Member
    Премиум

    Репутация:
    0
    Регистрация:
    19 сен 2017
    Сообщения:
    1
    Симпатии:
    0
    Неужели это не профиксили ? (не убрали дефолт настройки)
     
  17. Ondrik8

    Ondrik8 prodigy
    Red Team

    Репутация:
    10
    Регистрация:
    8 ноя 2016
    Сообщения:
    583
    Симпатии:
    1.515
    Вот и модуль нарисовался под это дело)



    DDE на замену макросам.
     
    Dmitry88 нравится это.
  18. Dmitry88

    Dmitry88 Well-Known Member

    Репутация:
    0
    Регистрация:
    29 дек 2016
    Сообщения:
    107
    Симпатии:
    104
    Не завелся единорог. Ошибку дает:
    DDE на замену макросам.


    При том пейлоад из msf работает хорошо.
     
  19. Anspirer

    Anspirer New Member

    Репутация:
    0
    Регистрация:
    2 окт 2017
    Сообщения:
    1
    Симпатии:
    0
    Ребят , а подскажите, RAT или кейлогер скрытый , можно туда засунуть?
     
  20. OneDollar

    OneDollar Well-Known Member
    Премиум

    Репутация:
    4
    Регистрация:
    7 сен 2017
    Сообщения:
    119
    Симпатии:
    49
    А разве получить доступ к powershell не равносильно получению управления компом Victim?)
     
    IioS нравится это.
Загрузка...

Поделиться этой страницей