• XSS.stack #1 – первый литературный журнал от юзеров форума

Статья Macros Microsoft Word: делаем свой макрос

Отслеживать
ColorS

ColorS

Пользователь
Регистрация
06.04.2019
Сообщения
431
Реакции
191
Депозит
0.00
У вас должно быть более 4 сообщений для просмотра скрытого контента.
https://pastebin.com/raw/xfv5PwRd вот простенький макрос,

СТАТЬЯ ДЛЯ НОВИЧКОВ
Всем привет! решил поделится с вами информацией о макросах на word, ото селлеры совсем обнаглели продают док с макросами за 50$ на зеленом форуме.
Этот макрос работает на любую винду, использующую любую версию word с включенными макросами.
Ниже приводятся следующие примеры:
2003, 2007, 2010, 2013, 2016, 365(для этой версии и нужны макросные атаки, c эксплойтами не долго прокатывает) , 2019

На первом этапе мы изменим приведенный выше код, чтобы он выполнял ваш файл полезной нагрузки.
Первая часть, которую вам нужно будет изменить, это “http://YourWebsite.com/YourStub.exe".
Вы замените его прямой ссылкой для загрузки на ваш файл.
Следующая часть будет называться "%Appdata%\DroppedStub", которая является именем процесса/файла вашего исполняемого файла после его выполнения.
Например, вы можете назвать это "winapi”, "winservhost" или как вам угодно. В этом примере мы используем папку appdata для удаления файла. Это не требует привилегий админа(если что).
Другой альтернативой было бы использование “%temp%". Вам нужно будет изменить имя droppedstub в двух местах в примере кода.
Обратите на это внимание.

На заключительном этапе этого макроса мы будем создавать документ.
Вам потребуются все версии microsoft word с включенными макросами.
После этого запустите word и создайте новый документ. Перейдите на вкладку Вид, нажмите на макросы, и здесь вы найдете “просмотр макросов".
Нажмите на кнопку Создать макрос и перейдите на вкладку "Обозреватель проектов" слева от вас.
Нажмите на свой документ, по умолчанию проект (Document1) и разверните его, чтобы нажать на кнопку “объекты Microsoft Word“.
Дважды щелкните на “ThisDocument” здесь вы скопируете и вставите измененный код, созданный на шаге 1.
Теперь нажмите Ctrl + S или сохраните его,а затем закройте все окно редактора макросов / проводника VBA.

page3.png

Когда появится окно с надписью “следующий проект не может быть сохранен в документе без макросов", просто нажмите кнопку нет и выберите любое расширение по вашему выбору, чтобы сохранить документ.
использовать его .doc или .docm.( docx нельзя 365 версия не легитно относится к макросам в docx )
сорри за баян и не пикчеризация, если понравится расскажу о технике macros on up( emotet ботнет ее использует в паблике еще не видел) и о cve 2017 11882 как сделать ее рабочей в 2020 году
 
Последнее редактирование:
Пожалуйста, обратите внимание, что пользователь заблокирован
AsHkERE сказал(а):
сорри за баян и не пикчеризация, если понравится расскажу о технике macros on up( emotet ботнет ее использует в паблике еще не видел) и о cve 2017 11882 как сделать ее рабочей в 2020 году

ждемс
 
Имхо лучше освети использование winapi в vb/vba. Мельком глаза видел, что так делают, но хотелось бы более полной инфы. Поскольку открываются такие векторы
1) патч amsi.dll в контексте vba движка. Способом rastamouse, только для vba.
2) инжекты шеллкода(loadpe шк, инжектированный куда либо, позволяет обойти поведенческий детект winword -> illegal child process. А также убрать дроп вредоноса на диск.
 
Haunt сказал(а):
Имхо лучше освети использование winapi в vb/vba. Мельком глаза видел, что так делают, но хотелось бы более полной инфы. Поскольку открываются такие векторы
1) патч amsi.dll в контексте vba движка. Способом rastamouse, только для vba.
2) инжекты шеллкода(loadpe шк, инжектированный куда либо, позволяет обойти поведенческий детект winword -> illegal child process. А также убрать дроп вредоноса на диск.
честно, я не по макросам, я так в этой теме спонтанно разобрался сам, рассказал вам. Я работаю в основном с уязвимостями cve 2017 11882, cve 2018-0802, cve 2019-0585, к макросам я отношусь относительно.
 
Haunt сказал(а):
Имхо лучше освети использование winapi в vb/vba. Мельком глаза видел, что так делают, но хотелось бы более полной инфы. Поскольку открываются такие векторы
1) патч amsi.dll в контексте vba движка. Способом rastamouse, только для vba.
2) инжекты шеллкода(loadpe шк, инжектированный куда либо, позволяет обойти поведенческий детект winword -> illegal child process. А также убрать дроп вредоноса на диск.
про первое информации у меня нет, про второе слышал, а именно про инжекты и подгрузку, только это дело насколько мне известно сильно палится(обход поведенческого детекта 2017), писать про это?
 
Последнее редактирование:
AsHkERE сказал(а):
Скрытое содержимое
СТАТЬЯ ДЛЯ НОВИЧКОВ
Всем привет! решил поделится с вами информацией о макросах на word, ото селлеры совсем обнаглели продают док с макросами за 50$ на зеленом форуме.
Этот макрос работает на любую винду, использующую любую версию word с включенными макросами.
Ниже приводятся следующие примеры:
2003, 2007, 2010, 2013, 2016, 365(для этой версии и нужны макросные атаки, c эксплойтами не долго прокатывает) , 2019

На первом этапе мы изменим приведенный выше код, чтобы он выполнял ваш файл полезной нагрузки.
Первая часть, которую вам нужно будет изменить, это “http://YourWebsite.com/YourStub.exe".
Вы замените его прямой ссылкой для загрузки на ваш файл.
Следующая часть будет называться "%Appdata%\DroppedStub", которая является именем процесса/файла вашего исполняемого файла после его выполнения.
Например, вы можете назвать это "winapi”, "winservhost" или как вам угодно. В этом примере мы используем папку appdata для удаления файла. Это не требует привилегий админа(если что).
Другой альтернативой было бы использование “%temp%". Вам нужно будет изменить имя droppedstub в двух местах в примере кода.
Обратите на это внимание.

На заключительном этапе этого макроса мы будем создавать документ.
Вам потребуются все версии microsoft word с включенными макросами.
После этого запустите word и создайте новый документ. Перейдите на вкладку Вид, нажмите на макросы, и здесь вы найдете “просмотр макросов".
Нажмите на кнопку Создать макрос и перейдите на вкладку "Обозреватель проектов" слева от вас.
Нажмите на свой документ, по умолчанию проект (Document1) и разверните его, чтобы нажать на кнопку “объекты Microsoft Word“.
Дважды щелкните на “ThisDocument” здесь вы скопируете и вставите измененный код, созданный на шаге 1.
Теперь нажмите Ctrl + S или сохраните его,а затем закройте все окно редактора макросов / проводника VBA.

Посмотреть вложение 9207
Когда появится окно с надписью “следующий проект не может быть сохранен в документе без макросов", просто нажмите кнопку нет и выберите любое расширение по вашему выбору, чтобы сохранить документ.
использовать его .doc или .docm.( docx нельзя 365 версия не легитно относится к макросам в docx )
сорри за баян и не пикчеризация, если понравится расскажу о технике macros on up( emotet ботнет ее использует в паблике еще не видел) и о cve 2017 11882 как сделать ее рабочей в 2020 году
баян
ввв.xss.pro/threads/29291/
 
Увидел софт для обфускации вордовского/exel документа, может кому пригодиться.
github.com

Release v1.3 · outflanknl/EvilClippy

Update evilclippy.cs
github.com

Проверял, почти в два раза снижает количество детекта, детекта в статике.
 
AsHkERE сказал(а):
честно, я не по макросам, я так в этой теме спонтанно разобрался сам, рассказал вам. Я работаю в основном с уязвимостями cve 2017 11882, cve 2018-0802, cve 2019-0585, к макросам я отношусь относительно.
Дружище, можно тебя попросить поделится PoC cve 2019-0585? ... чет гугл не гуглит =(
 
Kirigaya сказал(а):
Дружище, можно тебя попросить поделится PoC cve 2019-0585? ... чет гугл не гуглит =(
он считается не слитым, и рабочего варианта у меня нету
 
AsHkERE сказал(а):
он считается не слитым, и рабочего варианта у меня нету
Тогда понятно, в любом случае спасибо за информацию. 2018 cve потестил не прошел номер. =\
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх