Атака через архиваторы WinRAR и 7-Zip

  • Автор темы Admin

Admin

#1
Администратор
Регистрация
31.12.2019
Сообщения
6,888
Реакции
25
Всем п/т решил черкнуть что-бы не лить воду читаем тыц тут более подробно тыц и так старая атака больше не работает на новых версиях.Для начало нам надо обойти папку загрузки в браузере как оказалось это не так сложно что-бы это сделать нам надо в название любого файла вставить переменную %APPDATA%.exe или %PROGRAMFILES% и.т.д файл летит туда,да надо понимать что-бы у жертвы стояло так как на скриншоте,путь не важен,главное чтобы стояла галочка куда скачивать файл.

b5075b70ffd79d3855ebf.png


https://youtu.be/byg_REFvJmM

Причем тут макросы читаем тыц кто не понял если наш файл с макросом положить по данным путям то он от работает автоматически у жертвы выше просто демонстрация как это работает.​

Код:
%APPDATA%\Microsoft\Templates
C:\Program Files\Microsoft Office\Root\Templates\
%APPDATA%\Microsoft\Addins
C:\Program Files\Microsoft Office\Root\Document Themes 16\
C:\Users\administrator\AppData\Roaming\Microsoft\Word\STARTUP
C:\Users\Administrator\AppData\Roaming\Microsoft\Excel\XLSTART
Итак на руках у нас старая уязвимость Winrar,бага с обходом загрузки файла в любом почти браузере и макросы,давайте соберем нашу матрёшку для распространения.

2f12e927d1b47bad8c481.png


Создаем папки куда надо закинуть нашего зверька как выше в нех редакторе,первый тест видео показывает как мы обходим запуск макроса у жертвы.

https://youtu.be/TwJCmQFNhak
Хорошо пробиваемся в Startup смотрим в бою
https://youtu.be/vbi7hNGqUjU

У данного способа только один минус,жертве надо извлекать файл из Winrar именно так (Извлечь в текущую папку) но поскольку сам так извлекаю всегда файлы так как окно чтоб купить лицуху достает многих то зверьков будет не мало,по части если жертва извлечет файл по другому вообще не критично но откроет тот же .docm.xls и.т.д наш макрос тупо не отработает и не более,да работает на всех версиях WinRAR.(5.90/91)

Также можно создать два пути сразу так тыц один например летит файл с макросом а ярлык ложем в автозагрузку и.т.д ну что тут ещё добавить,можно скрыть файлы в папках так как у большинства тупо по умолчанию стоит не показывать так тыц сама атака может выглядеть так,возьмем например раздачу мануалов или любые базы,логи и.т.д не кто там не будет персонально искать нашу папку wink.png


О чуть не забыл почитал тут флудистов на хабре тыц не знал что многие IT двигаются на 7-Zip​

Вообщем это дополнение к статье так как мне и близкий кто тестил то же сказал мне по барабану winrar и он всегда открывает архив чтоб извлечь файлы из 7-Zip,добро сносим winrar и ставим 7-Zip стату не нашел на него сколько пользователь но понял что он на втором месте после winrar но как то так, но не точно 149706209.gif
первая атака что и winrar сразу прошла но самое интересное было потом,скриншот кто любит картинки.

https://telegra.ph/file/525672df3df2ed7ceeb65.png

https://youtu.be/rKGFwdseGiQ


На этом вроде все,да работает и на этом peazip.org также как и на 7-Zip тыц,уверен что такие баги есть и в других архиваторах тыц но это у же кому интересно пусть тестят вектор атаки указал.

Автор: xrahitel
 

Members, viewing this thread

Сейчас на форуме нет ни одного пользователя.