Статья PowerShell для хакера (часть III) [LuckyStrike - создание вредоносных макросов]

SooLFaa · 18.12.2016

Статья кул. Единственный вопрос. Как ты макрос обошёл? Почему файл не подсвечивается как файл с макросом и соотсвесвенно при запуске файла не предупреждает, что там макрос?

UPDATE: Я в глаза долблюсь. Увидел.

stilya · 10.01.2017

У меня не срабатывает почему-то...вот что выдает...

в чем причина?

<~DarkNode~> · 10.01.2017

stilya сказал(а):
У меня не срабатывает почему-то...вот что выдает...

в чем причина?

Что вернуло вам в результате команды :
Install-Module PSSQLite

???

stilya · 10.01.2017

Сначала ругалась что не хватала какой то приблуды...нажал на y она встала...потом все как у вас на скринах предупредила что не из проверенных источниках...нажал на y все вроде как стало...потом скопировал ссыль и выдало ошибку...посмотрел на скрины и ссыль...оказалось что в ссылке не хватало закрывающей скобки...скопировал в блокнот добавил скобку и все та же песня...
Когда начал опять с нуля...при установке Install-Module PSSQLite ничего не произошло...повисело и вернула на то же место где и был.
[doublepost=1484052639,1484052290][/doublepost]А что этот третий шаг пройти нужно те первые две части тоже?

<~DarkNode~> · 10.01.2017

stilya сказал(а):
Сначала ругалась что не хватала какой то приблуды...нажал на y она встала...потом все как у вас на скринах предупредила что не из проверенных источниках...нажал на y все вроде как стало...потом скопировал ссыль и выдало ошибку...посмотрел на скрины и ссыль...оказалось что в ссылке не хватало закрывающей скобки...скопировал в блокнот добавил скобку и все та же песня...
Когда начал опять с нуля...при установке Install-Module PSSQLite ничего не произошло...повисело и вернула на то же место где и был.

PowerShell запущен от имени администратора ? На вашем скрине ошибка возникла при создании БД.

stilya · 10.01.2017

Да...правой кнопкой и запустить от имени администратора...на всякий случай отключил нод32...не помогло...а те первый две статьи необходимо пройти или достаточно начать с третьей...просто в третей все понятно, только не запускается...выяснить бы почему!

<~DarkNode~> · 10.01.2017

stilya сказал(а):
Да...правой кнопкой и запустить от имени администратора...на всякий случай отключил нод32...не помогло...а те первый две статьи необходимо пройти или достаточно начать с третьей...просто в третей все понятно, только не запускается...выяснить бы почему!

Извините,у меня все неоднократно работало без ошибок. Я посторался как можно подробней описать последовательность действий. Ваша ошибка возникла при создании БД. Я не в силах обладать ,даже при очень большом желании, таким к-твом времени что бы гуглить за вас код ошибки. Если я столкнусь с подобной ошибкой - я обезательно поделюсь.Сейчас я физически не успеваю делать все за пользователей.Так же буду признателен ,если опишите в дальнейшем способ о решение своей проблемы. Если вам тяжело осваивать данный материал - могу предположить , что мои статьи для вас не подходят...

stilya · 10.01.2017

~~DarkNode~~ сказал(а):
Извините,у меня все неоднократно работало без ошибок. Я посторался как можно подробней описать последовательность действий. Ваша ошибка возникла при создании БД. Я не в силах обладать ,даже при очень большом желании, таким к-твом времени что бы гуглить за вас код ошибки. Если я столкнусь с подобной ошибкой - я обезательно поделюсь.Сейчас я физически не успеваю делать все за пользователей.Так же буду признателен ,если опишите в дальнейшес способо решение своей проблемы. Если вам тяжело осваивать данный материал - могу предположить , что мои статьи для вас не подходят...

Третья статья достаточно подробна и доступна для понимания...и до этого шага все шло замечательно, возможно что работает все это только на виртуальных машинах...на реальных как видимо нет...и не знаю почему вы увидели ошибку при создании базы данных...т.к. у меня на скрине и во помине ее нет...а вот правильность пути да...скорее проблема именно в этом!

SooLFaa · 10.01.2017

stilya сказал(а):
Третья статья достаточно подробна и доступна для понимания...и до этого шага все шло замечательно, возможно что работает все это только на виртуальных машинах...на реальных как видимо нет...и не знаю почему вы увидели ошибку при создании базы данных...т.к. у меня на скрине и во помине ее нет...а вот правильность пути да...скорее проблема именно в этом!

Дорогой, это и есть реальные машины.

stilya · 10.01.2017

SooLFaa сказал(а):
Дорогой, это и есть реальные машины.

Да нет дорогая автор говорит что это виртуалки...смотри если не веришь его первую часть!

SooLFaa · 10.01.2017

stilya сказал(а):
Да нет дорогая автор говорит что это виртуалки...смотри если не веришь его первую часть!

Слушай, я прохожу эти лабы начиная с 5. Так же как и богдан. А это не ВИРТУАЛКИ а ВПНКИ.
А вот ты можешь её как с виртуалки проходить так и с основной оси. Это никакое значение не имеет. powershell везде одинаковый. Интерпретатор и в африке интерпретатор.

<~DarkNode~> · 10.01.2017

stilya сказал(а):
Третья статья достаточно подробна и доступна для понимания...и до этого шага все шло замечательно, возможно что работает все это только на виртуальных машинах...на реальных как видимо нет...и не знаю почему вы увидели ошибку при создании базы данных...т.к. у меня на скрине и во помине ее нет...а вот правильность пути да...скорее проблема именно в этом!

Потому что на скрине видно , что PowerShell не распознал вызываемые команды в скрипте инииализации БД.( Что вызивает подозрение о том , что модуль PSSLite не установлен,или установлен не коректно...)
Команда
Get-Module –list
вернет список установленных модулей в PowerShell.
Проверьте наличие модуля PSSQLite в этом списке на всякий случай.

stilya · 10.01.2017

~~DarkNode~~ сказал(а):
Потому что на скрине видно , что PowerShell не распознал вызываемые команды в скрипте инииализации БД.( Что вызивает подозрение о том , что модуль PSSLite не установлен,или установлен не коректно...)
Команда
Get-Module –list
вернет список установленных модулей в PowerShell.
Проверьте наличие модуля PSSQLite в этом списке на всякий случай.

Хорошо...завтра попробую с нуля на другой машине...спасибо за ответы и помощь...вот так в дискуссии ни разу не сталкиваясь с подобной темой на виндовозе, начинаешь потихоньку врубаться!
[doublepost=1484055169,1484055103][/doublepost]

SooLFaa сказал(а):
Слушай, я прохожу эти лабы начиная с 5. Так же как и богдан. А это не ВИРТУАЛКИ а ВПНКИ.
А вот ты можешь её как с виртуалки проходить так и с основной оси. Это никакое значение не имеет. powershell везде одинаковый. Интерпретатор и в африке интерпретатор.

Понятно...а может быть причина в Nod32? не стоил ли отключить всю имеющиюся защиту?

SooLFaa · 10.01.2017

Нет. Тебе ошибку выдает сам PS, т.е. интерпретатор. Если бы что то ноде не нравилось, т осама нода бы тебе и сообщила.

stilya · 10.01.2017

SooLFaa сказал(а):
Нет. Тебе ошибку выдает сам PS, т.е. интерпретатор. Если бы что то ноде не нравилось, т осама нода бы тебе и сообщила.

Спасибо...завтра буду разбираться что за причина, по крайней мере теперь знаю в каком направлении двигаться...спасибо помощь!

<~DarkNode~> · 10.01.2017

На всякий случай вот инструкия с гитхаба автора продукта:

GitHub сказал(а):
luckystrike
A PowerShell based utility for the creation of malicious Office macro documents.

Getting Started

Read this: http://www.shellntel.com/blog/2016/9/13/luckystrike-a-database-backed-evil-macro-generator

Make sure you are on a Win7-10 machine (32 or 64bit).

You must be running a current version of PowerShell (v5+).

You must have Microsoft Excel installed (I did my testing with 2013).

From an ADMINISTRATIVE PowerShell prompt, run the following command. A luckystrike folder will be created for you.

iex (new-object net.webclient).downloadstring('
Ссылка скрыта от гостей
')

Run .\luckystrike\luckystrike.ps1 (lowpriv or admin. Doesn't matter).

Repeat step #1 when you have a question, or submit a github issue.

Перевожу:

Прочтите эту статью : http://www.shellntel.com/blog/2016/9/13/luckystrike-a-database-backed-evil-macro-generator
Убедитесь в том что вы используете машину с операционной системой (32 или 64 битной) (Windows 7-10 версии)
Текущая версия PowerShell не ниже v5
У вас установленный Microsoft Excel ( разработчик тестировао на версии 2013 года)
Запустите PowerShell от имени администратора следующую команду,которая создаст папку luckystrike :
iex (new-object net.webclient).downloadstring('https://raw.githubusercontent.com/Shellntel/luckystrike/master/install.ps1')
Запустите .\luckystrike\luckystrike.ps1 (тут не имеет значения уровень привилегий)
Повторите шаг 1

stilya · 10.01.2017

В начале пишет что на моей машине отключена возможность выполнения сценариев...вот где собака зарыта
~~link removed~~
[doublepost=1484057132,1484057070][/doublepost]

<~DarkNode~> · 10.01.2017

stilya сказал(а):
В начале пишет что на моей машине отключена возможность выполнения сценариев...вот где собака зарыта
~~link removed~~
[doublepost=1484057132,1484057070][/doublepost]

Powershell -exec bypass

затем все должно работать:

stilya · 12.01.2017

~~DarkNode~~ сказал(а):
Powershell -exec bypass

затем все должно работать:
Посмотреть вложение 8537

Благодарю все сработало...двигаемся дальше!!!
[doublepost=1484198070,1484163806][/doublepost]На этом я и закончу терроризировать винду, материал подан крайне лаконично и рассчитан на тех кто уже прошел по этой схеме, вопросов остается много, но ответов как я понял давать мне ну будут, спасибо тем кто помогал, благодаря вам многие начинаются разбираться в этом не простом деле!
[doublepost=1484205712][/doublepost]Возвращаюсь к старому и доброму linux

Все сервисы Codeby

Поиск

Поиск

Статья PowerShell для хакера (часть III) [LuckyStrike - создание вредоносных макросов]

Вложения

SooLFaa

stilya

<~DarkNode~>

~^M1st3r_Bert0ni^~

stilya

<~DarkNode~>

~^M1st3r_Bert0ni^~

stilya

<~DarkNode~>

~^M1st3r_Bert0ni^~

stilya

SooLFaa

stilya

SooLFaa

<~DarkNode~>

~^M1st3r_Bert0ni^~

stilya

SooLFaa

stilya

<~DarkNode~>

~^M1st3r_Bert0ni^~

stilya

<~DarkNode~>

~^M1st3r_Bert0ni^~

stilya