Статья атака через архиваторы WinRAR и 7-Zip

[xrahitel]

Всем п/т решил черкнуть что-бы не лить воду читаем тыц тут более подробно тыц и так старая атака больше не работает на новых версиях.Для начало нам надо обойти папку загрузки в браузере как оказалось это не так сложно что-бы это сделать нам надо в название любого файла вставить переменную %APPDATA%.exe или %PROGRAMFILES% и.т.д файл летит туда,да надо понимать что-бы у жертвы стояло так как на скриншоте,путь не важен,главное чтобы стояла галочка куда скачивать файл.

Думаю с этим все понятно да работает это в (Chrome,Firefox,Opera,Edge)

Причем тут макросы читаем тыц кто не понял если наш файл с макросом положить по данным путям то он от работает автоматически у жертвы выше просто демонстрация как это работает.​

%APPDATA%\Microsoft\Templates
C:\Program Files\Microsoft Office\Root\Templates\
%APPDATA%\Microsoft\Addins
C:\Program Files\Microsoft Office\Root\Document Themes 16\
C:\Users\administrator\AppData\Roaming\Microsoft\Word\STARTUP
C:\Users\Administrator\AppData\Roaming\Microsoft\Excel\XLSTART

Итак на руках у нас старая уязвимость Winrar,бага с обходом загрузки файла в любом почти браузере и макросы,давайте соберем нашу матрёшку для распространения.

Создаем папки куда надо закинуть нашего зверька как выше в нех редакторе,первый тест видео показывает как мы обходим запуск макроса у жертвы.

Хорошо пробиваемся в Startup смотрим в бою

​

У данного способа только один минус,жертве надо извлекать файл из Winrar именно так (Извлечь в текущую папку) но поскольку сам так извлекаю всегда файлы так как окно чтоб купить лицуху достает многих то зверьков будет не мало,по части если жертва извлечет файл по другому вообще не критично но откроет тот же .docm.xls и.т.д наш макрос тупо не отработает и не более,да работает на всех версиях WinRAR.(5.90/91)

Также можно создать два пути сразу так тыц один например летит файл с макросом а ярлык ложем в автозагрузку и.т.д ну что тут ещё добавить,можно скрыть файлы в папках так как у большинства тупо по умолчанию стоит не показывать так тыц сама атака может выглядеть так,возьмем например раздачу мануалов или любые базы,логи и.т.д не кто там не будет персонально искать нашу папку

О чуть не забыл почитал тут флудистов на хабре тыц не знал что многие IT двигаются на 7-Zip​

Вообщем это дополнение к статье так как мне и близкий кто тестил то же сказал мне по барабану winrar и он всегда открывает архив чтоб извлечь файлы из 7-Zip,добро сносим winrar и ставим 7-Zip стату не нашел на него сколько пользователь но понял что он на втором месте после winrar но как то так, но не точно

первая атака что и winrar сразу прошла но самое интересное было потом,скриншот кто любит картинки.

Кто не любит картинки смотрим в бою.

На этом вроде все,да работает и на этом peazip.org также как и на 7-Zip тыц,уверен что такие баги есть и в других архиваторах тыц но это у же кому интересно пусть тестят вектор атаки указал

​

 

[Desoxyn]

Огонь! Наконец то добил!
"Я джва года ждал эту статью!" Экшон набигает! (c) Корованы
+++

 

[wdosx]

Неплохая статья, жалко что CVE уже давно устарела и каждый 2-й ав это палит

 

[Sanchez]

Спасибо, хорошо написано! ( сразу заметил как перестал распаковывать архивы в текущую папку ? )

 

[admin]

Интересная тема, интересный вектор, даже несмотря на старый и древний баг. Спасибо за материал. Единственный неприятный момент. На сейчас - статья на конкурс не проходит чисто по формальному признаку:

• Статья - только авторская. Копипаст = выдворение с конкурса, с позором.
• Размещение статьи - только у нас на xss.pro. Если вы разместили материал еще где-то, предыдущий пункт требований вами уже не выполняется.
• Минимальное количество символов - 7000.
• "Рецепт" идеальной статьи - теория, интересные примеры из жизни, интересные истории, подкрепленные практикой, тематический разбор материала, скриншоты, видео демонстрация. Не стоит копипастить официальные мануалы или писать бездумную теорию, она никому не интересна.
• "Вода" и пустословие под видом статей не принимаются.
• Адекватное оформление, орфография и пунктуация.

Если ты хочешь, чтобы статья прошла, переоформи, допиши, дораскрой тему сегодня (максимум - завтра). Видео - это круто, удобно и нативно, но как дополнение, а не основная часть статьи.

 

[xrahitel]

Если ты хочешь, чтобы статья прошла, переоформи, допиши, дораскрой тему сегодня (максимум - завтра). Видео - это круто, удобно и нативно, но как дополнение, а не основная часть статьи.

Мне не чего сюда добавить да и редактировать у же не могу тему а тупо постить букавки чтоб было 7к слов по мне так это бессмысленна,тема раскрыта полностью и с видео демонстрацией и бага не старая а новая и работает на всех версиях и.т.д

 

[admin]

Мне не чего сюда добавить да и редактировать у же не могу тему а тупо постить букавки чтоб было 7к слов по мне так это бессмысленна,тема раскрыта полностью и с видео демонстрацией и бага не старая а новая и работает на всех версиях и.т.д

Жаль, что ты не захотел отредактировать и оформить нормально. Материал хороший, мог занять какие-то из призовых мест. Но у нас не конкурс видео, а статей. Видео - это крутое добавление к общему материалу, но это не все. Сорри, но правила едины для всех. При всем моем желании, без 7к символов статья добавлена не была. По формальному признаку символов не хватает. Если я сделаю исключение, я автоматически буду должен делать исключение для всех остальных тоже.

 

[xrahitel]

Но у нас не конкурс видео, а статей.

Так а где это сказано то читаю Требования к статье это также один из пунктов и не больше а теперь давайте так кто тут видео делал тот скажет на не его убиваешь парой не одну неделю если посмотреть мои тесты это даже видно когда они начались,интересно а если-бы нолик дней кто выложил формате видео на 45 секунд то же не прошел-бы ну странная логика по мне так точно,если взять каждое видео а их тут минуем три так это можно и посчитать за 1к букв Вам так не думается что логично было-бы и справедливо.

без 7к символов статья добавлена не была

Добро это тогда что тут делает тыц посчитал количество тыц где там 7к Всего символов: 3768 Всего слов: 624 Уникальных слов: 365 в моей Всего символов: 2958 Всего слов: 522 Уникальных слов: 258 и где логика,посмотрел Ваш прошлый конкурсы такие же требование были 7к первая тыц даже 5к не набирается а если везде убрать код и.т.д

Если я сделаю исключение, я автоматически буду должен делать исключение для всех остальных тоже.

Так Вы у же сделали если смотреть объективно на все а по части добавить мне реально не чего и мне просто интересно кто тут чего не понял,если взять коменты в данном теме так их просто нет,исходя из этого думаю что тут не пятиклассники сидят кому нужно объяснять каждую букву.

p.s На этом у меня все и Берегите себя и своих Близких

 

[airaiven]

Я считаю не важно видео или буквы , лучше даже видео с голосовым комментарием что делаем и зачем и почему. И даже скажу что подписан на его канал и когда то был на форуме и акк успешно проебал , но меня удивляло на его форуме оперативность сливов из приватов и хитроумие созданий мультов или как он ещё этого делает. Однозначно респект , таких авторов по пальцам одной руки посчитать в дарке можно.

 

[Thrash]

Очень интересная статья, спасибо. К счастью уже давно не распаковываю архивы в "текущую папку".

 

[Dr.Strangelove]

Опять 25. Кто хочет поработать копирайтером-редактором и оформить статью за процент от выигрыша?

 

[Jeffs]

Опять 25. Кто хочет поработать копирайтером-редактором и оформить статью за процент от выигрыша?

Глянь на дату создания темы.

 

[Dr.Strangelove]

Глянь на дату создания темы.

Точно. А я еще думаю: че за прикол, конкурс то прошел вроде уже.

 

[pr3torian]

Does this still work?...(is there any English tutorial) how to make this?