Статья PowerShell для хакера (часть III) [LuckyStrike - создание вредоносных макросов]

<~DarkNode~>

<~DarkNode~>

~^M1st3r_Bert0ni^~
Red Team
19.10.2016
723
3 019
Часть 3
Предыдущая часть
Следующая часть
Все части

1461015_242885682542169_1621012423_n.jpg


Привет колеги)

Сегодня продолжим обогащать себя возможностями PowerShell с точки зрение информационной безопасности,вооружившись знаниями из моей прошлой статьи , мы познакомимся с таким проектом как , и научимся с его помощью создавать зловредные Microsoft Exel документы.

И так в первую очередь для корректной работы утилиты LuckyStrike над будет необходимо:
  • Windows (7-10)
  • PowerShell не меньше версии v5
  • Установленный Microsoft Exel
Установка:
1) Запускаем PowerShell от имени администратора
2)Ставим модуль PSSQLite - для работы с базами SQLite.

1.PNG


3) Устанавливаем LuckyStrike и запускаем:
iex (new-object net.webclient).downloadstring(' '
2.PNG


Теперь создаем полезную нагрузку,я воспользуюсь своим скриптом ,о котором писал в прошлой статье

4.PNG


Поднимаем листенер:

5.PNG


Копипастим нашу команду в файлик с расширением .ps1, скрипт для powershell.
Открываем LuckStrike и добавляем пейлоад в каталог:

6.PNG


7.PNG


Далее выберем нашу полезную нагрузку для создания вредоносного файла:

8.PNG


Создадим наш вредоносный документ:

9.PNG
10.PNG


Открываем и ловим сессию метаслоита)

11.PNG


Помни) Твой лайк - поднимает автору настроение)
А если честно - по к-тву лайков - я определяю примерное количество целевой аудитории.
Если вас будет хотя бы 20 человек - то продуктивность моих статей возрастет) И я буду видеть смысл в трате времени на написание своих статей)

Всем спасибо)

Предыдущая часть
Следующая часть
Все части
 

Вложения

  • 107,5 КБ Просмотры: 63
  • 101,9 КБ Просмотры: 409
SooLFaa

SooLFaa

Администратор
15.07.2016
841
1 395
Статья кул. Единственный вопрос. Как ты макрос обошёл? Почему файл не подсвечивается как файл с макросом и соотсвесвенно при запуске файла не предупреждает, что там макрос?

UPDATE: Я в глаза долблюсь. Увидел.
 
S

stilya

У меня не срабатывает почему-то...вот что выдает...

в чем причина?
 
S

stilya

Сначала ругалась что не хватала какой то приблуды...нажал на y она встала...потом все как у вас на скринах предупредила что не из проверенных источниках...нажал на y все вроде как стало...потом скопировал ссыль и выдало ошибку...посмотрел на скрины и ссыль...оказалось что в ссылке не хватало закрывающей скобки...скопировал в блокнот добавил скобку и все та же песня...
Когда начал опять с нуля...при установке Install-Module PSSQLite ничего не произошло...повисело и вернула на то же место где и был.
[doublepost=1484052639,1484052290][/doublepost]А что этот третий шаг пройти нужно те первые две части тоже?
 
<~DarkNode~>

<~DarkNode~>

~^M1st3r_Bert0ni^~
Red Team
19.10.2016
723
3 019
Сначала ругалась что не хватала какой то приблуды...нажал на y она встала...потом все как у вас на скринах предупредила что не из проверенных источниках...нажал на y все вроде как стало...потом скопировал ссыль и выдало ошибку...посмотрел на скрины и ссыль...оказалось что в ссылке не хватало закрывающей скобки...скопировал в блокнот добавил скобку и все та же песня...
Когда начал опять с нуля...при установке Install-Module PSSQLite ничего не произошло...повисело и вернула на то же место где и был.
PowerShell запущен от имени администратора ? На вашем скрине ошибка возникла при создании БД.
 
S

stilya

Да...правой кнопкой и запустить от имени администратора...на всякий случай отключил нод32...не помогло...а те первый две статьи необходимо пройти или достаточно начать с третьей...просто в третей все понятно, только не запускается...выяснить бы почему!
 
<~DarkNode~>

<~DarkNode~>

~^M1st3r_Bert0ni^~
Red Team
19.10.2016
723
3 019
Да...правой кнопкой и запустить от имени администратора...на всякий случай отключил нод32...не помогло...а те первый две статьи необходимо пройти или достаточно начать с третьей...просто в третей все понятно, только не запускается...выяснить бы почему!
Извините,у меня все неоднократно работало без ошибок. Я посторался как можно подробней описать последовательность действий. Ваша ошибка возникла при создании БД. Я не в силах обладать ,даже при очень большом желании, таким к-твом времени что бы гуглить за вас код ошибки. Если я столкнусь с подобной ошибкой - я обезательно поделюсь.Сейчас я физически не успеваю делать все за пользователей.Так же буду признателен ,если опишите в дальнейшем способ о решение своей проблемы. Если вам тяжело осваивать данный материал - могу предположить , что мои статьи для вас не подходят...
 
Последнее редактирование:
  • Нравится
Реакции: stilya
S

stilya

Извините,у меня все неоднократно работало без ошибок. Я посторался как можно подробней описать последовательность действий. Ваша ошибка возникла при создании БД. Я не в силах обладать ,даже при очень большом желании, таким к-твом времени что бы гуглить за вас код ошибки. Если я столкнусь с подобной ошибкой - я обезательно поделюсь.Сейчас я физически не успеваю делать все за пользователей.Так же буду признателен ,если опишите в дальнейшес способо решение своей проблемы. Если вам тяжело осваивать данный материал - могу предположить , что мои статьи для вас не подходят...
Третья статья достаточно подробна и доступна для понимания...и до этого шага все шло замечательно, возможно что работает все это только на виртуальных машинах...на реальных как видимо нет...и не знаю почему вы увидели ошибку при создании базы данных...т.к. у меня на скрине и во помине ее нет...а вот правильность пути да...скорее проблема именно в этом!
 
SooLFaa

SooLFaa

Администратор
15.07.2016
841
1 395
Третья статья достаточно подробна и доступна для понимания...и до этого шага все шло замечательно, возможно что работает все это только на виртуальных машинах...на реальных как видимо нет...и не знаю почему вы увидели ошибку при создании базы данных...т.к. у меня на скрине и во помине ее нет...а вот правильность пути да...скорее проблема именно в этом!
Дорогой, это и есть реальные машины.
 
  • Нравится
Реакции: BaJIepraH
SooLFaa

SooLFaa

Администратор
15.07.2016
841
1 395
Да нет дорогая автор говорит что это виртуалки...смотри если не веришь его первую часть!
Слушай, я прохожу эти лабы начиная с 5. Так же как и богдан. А это не ВИРТУАЛКИ а ВПНКИ.
А вот ты можешь её как с виртуалки проходить так и с основной оси. Это никакое значение не имеет. powershell везде одинаковый. Интерпретатор и в африке интерпретатор.
 
  • Нравится
Реакции: ActionNum и stilya
<~DarkNode~>

<~DarkNode~>

~^M1st3r_Bert0ni^~
Red Team
19.10.2016
723
3 019
Третья статья достаточно подробна и доступна для понимания...и до этого шага все шло замечательно, возможно что работает все это только на виртуальных машинах...на реальных как видимо нет...и не знаю почему вы увидели ошибку при создании базы данных...т.к. у меня на скрине и во помине ее нет...а вот правильность пути да...скорее проблема именно в этом!
Потому что на скрине видно , что PowerShell не распознал вызываемые команды в скрипте инииализации БД.( Что вызивает подозрение о том , что модуль PSSLite не установлен,или установлен не коректно...)
Команда
Get-Module –list
вернет список установленных модулей в PowerShell.
Проверьте наличие модуля PSSQLite в этом списке на всякий случай.
 
  • Нравится
Реакции: stilya
S

stilya

Потому что на скрине видно , что PowerShell не распознал вызываемые команды в скрипте инииализации БД.( Что вызивает подозрение о том , что модуль PSSLite не установлен,или установлен не коректно...)
Команда
Get-Module –list
вернет список установленных модулей в PowerShell.
Проверьте наличие модуля PSSQLite в этом списке на всякий случай.
Хорошо...завтра попробую с нуля на другой машине...спасибо за ответы и помощь...вот так в дискуссии ни разу не сталкиваясь с подобной темой на виндовозе, начинаешь потихоньку врубаться!
[doublepost=1484055169,1484055103][/doublepost]
Слушай, я прохожу эти лабы начиная с 5. Так же как и богдан. А это не ВИРТУАЛКИ а ВПНКИ.
А вот ты можешь её как с виртуалки проходить так и с основной оси. Это никакое значение не имеет. powershell везде одинаковый. Интерпретатор и в африке интерпретатор.
Понятно...а может быть причина в Nod32? не стоил ли отключить всю имеющиюся защиту?
 
SooLFaa

SooLFaa

Администратор
15.07.2016
841
1 395
Нет. Тебе ошибку выдает сам PS, т.е. интерпретатор. Если бы что то ноде не нравилось, т осама нода бы тебе и сообщила.
 
  • Нравится
Реакции: <~DarkNode~> и stilya
S

stilya

Нет. Тебе ошибку выдает сам PS, т.е. интерпретатор. Если бы что то ноде не нравилось, т осама нода бы тебе и сообщила.
Спасибо...завтра буду разбираться что за причина, по крайней мере теперь знаю в каком направлении двигаться...спасибо помощь!
 
  • Нравится
Реакции: <~DarkNode~>
<~DarkNode~>

<~DarkNode~>

~^M1st3r_Bert0ni^~
Red Team
19.10.2016
723
3 019
На всякий случай вот инструкия с гитхаба автора продукта:
luckystrike
A PowerShell based utility for the creation of malicious Office macro documents.

Getting Started
  1. Read this: http://www.shellntel.com/blog/2016/9/13/luckystrike-a-database-backed-evil-macro-generator
  • Make sure you are on a Win7-10 machine (32 or 64bit).
  • You must be running a current version of PowerShell (v5+).
  • You must have Microsoft Excel installed (I did my testing with 2013).
  • From an ADMINISTRATIVE PowerShell prompt, run the following command. A luckystrike folder will be created for you.
    1. iex (new-object net.webclient).downloadstring(' ')
  • Run .\luckystrike\luckystrike.ps1 (lowpriv or admin. Doesn't matter).
  • Repeat step #1 when you have a question, or submit a github issue. :)
Перевожу:
  1. Прочтите эту статью : http://www.shellntel.com/blog/2016/9/13/luckystrike-a-database-backed-evil-macro-generator
  2. Убедитесь в том что вы используете машину с операционной системой (32 или 64 битной) (Windows 7-10 версии)
  3. Текущая версия PowerShell не ниже v5
  4. У вас установленный Microsoft Excel ( разработчик тестировао на версии 2013 года)
  5. Запустите PowerShell от имени администратора следующую команду,которая создаст папку luckystrike :
    iex (new-object net.webclient).downloadstring('https://raw.githubusercontent.com/Shellntel/luckystrike/master/install.ps1')
  6. Запустите .\luckystrike\luckystrike.ps1 (тут не имеет значения уровень привилегий)
  7. Повторите шаг 1
 
S

stilya

В начале пишет что на моей машине отключена возможность выполнения сценариев...вот где собака зарыта
link removed
[doublepost=1484057132,1484057070][/doublepost]
 
Последнее редактирование модератором:
<~DarkNode~>

<~DarkNode~>

~^M1st3r_Bert0ni^~
Red Team
19.10.2016
723
3 019
В начале пишет что на моей машине отключена возможность выполнения сценариев...вот где собака зарыта
link removed
[doublepost=1484057132,1484057070][/doublepost]
Powershell -exec bypass

затем все должно работать:
1.PNG
 
S

stilya

Powershell -exec bypass

затем все должно работать:
Посмотреть вложение 8537
Благодарю все сработало...двигаемся дальше!!!
[doublepost=1484198070,1484163806][/doublepost]На этом я и закончу терроризировать винду, материал подан крайне лаконично и рассчитан на тех кто уже прошел по этой схеме, вопросов остается много, но ответов как я понял давать мне ну будут, спасибо тем кто помогал, благодаря вам многие начинаются разбираться в этом не простом деле!
[doublepost=1484205712][/doublepost]Возвращаюсь к старому и доброму linux
 
  • Нравится
Реакции: <~DarkNode~> и BaJIepraH
Мы в соцсетях: