Анализ .rtf (cve-2017-11882)

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ

Скрыть

		Форум АНТИЧАТ > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Песочница
Анализ .rtf (cve-2017-11882)

Опции темы

Поиск в этой теме

Опции просмотра

20.03.2018, 01:34

killanas

Новичок

Регистрация: 14.09.2015

Сообщений: 27

Провел на форуме:
6236

Репутация: 0

md5: d65c1c15a30c58043c3c0246f2e39510

Не могу достать пейлоад.

Подтупливаю.

Попробовал достать с помощью ole-tools'в - не алё.

В сети внятного объяснения, как получить из rtf-файла ole-объект не нашел.

Так понимаю, если смотреть руками, то объект:

Цитата:

Сообщение от None

\object \objemb \objupdate {\*\objdata {\*\par242 0}{\*\par112 1}{\*\par55 0}{\*\par901 5}{\*\par725 0}{\*\par971 0}{\*\par709 0}{\*\par814 0}{\*\par867 0}{\*\par774 2}
{\*\par954 0}{\*\par425 0}{\*\par458 0}{\*\par611 0}{\*\par578 0} и тд.

Не нашел в спецификации как понять par"цифра".

После par"цифра" стоит число в hex'е. В виду чего предполагаю, что всего лишь на всего нужно эти hex-значения расставить в правильном порядке.

Только не могу понять в каком.

Если принять, что par"цифра" это порядковый номер hex=значения, то не клеится потому что в \objdata может быть несколько par с одинаковыми "цифрами".

Может быть вообще не в ту сторону смотрю?

Прошу прошения, если получилось не понятно.

20.03.2018, 02:06

killanas

Новичок

Регистрация: 14.09.2015

Сообщений: 27

Провел на форуме:
6236

Репутация: 0

Цитата:

Сообщение от BabaDook

↑
Так зачем тебе? В образовательных целях? Или ты поймал файл такой ? Я не оч понимаю твою конечную цель

В принципе верно всё вышеуказанное верно.

Словил такой файл.

Сейчас я хотел бы достать из этого .rtf, то, что туда передали полезной нагрузкой.

Так понимаю там будет либо, бинарный файл, либо команда для запуска cmd/powershell/mshta, скачивания файла и его запуска.

Зачастую бОльшая часть малварей стучит наружу. Поэтому конечная цель: 1) Получить домен; 2) Полностью понять механизм проведения атаки; 3) Узнать что-то новое по итогу (В данном случае имею в в виду как достать из RTF-файла объект).

20.03.2018, 02:49

BabaDook

Познавший АНТИЧАТ

Регистрация: 09.05.2015

Сообщений: 1,066

Провел на форуме:
238786

Репутация: 40

Цитата:

Сообщение от killanas

↑
В принципе верно всё вышеуказанное верно.
Словил такой файл.
Сейчас я хотел бы достать из этого .rtf, то, что туда передали полезной нагрузкой.
Так понимаю там будет либо, бинарный файл, либо команда для запуска cmd/powershell/mshta, скачивания файла и его запуска.
Зачастую бОльшая часть малварей стучит наружу. Поэтому конечная цель: 1) Получить домен; 2) Полностью понять механизм проведения атаки; 3) Узнать что-то новое по итогу (В данном случае имею в в виду как достать из RTF-файла объект).

поделись файликом. Попробую разгадаться

20.03.2018, 02:51

killanas

Новичок

Регистрация: 14.09.2015

Сообщений: 27

Провел на форуме:
6236

Репутация: 0

Цитата:

Сообщение от BabaDook

↑
поделись файликом. Попробую разгадаться

С первым и вторым разобрался. По итогу через cmd скачивается с домена msi-пакет). rtfobj работает на ура конечно (Раньше не пользовался, видимо по этому тормозил).

Интерес по декодированию /object остался. Может кто статейку, описание или документашку годную подкинет кто.

« Предыдущая тема | Следующая тема »

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход