VBA RunPE

Descrição

Uma implementação simples, porém eficaz, da técnica RunPE no VBA. Este código pode ser usado para executar executáveis ​​da memória do Word ou Excel. É compatível com as versões de 32 e 64 bits do Microsoft Office 2010 e superior.

Win10_x64_Office2016_x64_PowerShell

Uso 1 – arquivo PE no disco

  1. No Exploitprocedimento no final do código, defina o caminho do arquivo que você deseja executar.
strSrcFile = "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"

/! \ Se você estiver usando uma versão de 32 bits do Microsoft Office em um SO de 64 bits, deverá especificar binários de 32 bits.

strSrcFile = "C:\Windows\SysWOW64\cmd.exe"
strSrcFile = "C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe"
  1. Especifique os argumentos da linha de comandos (opcional).
strArguments = "-exec Bypass"

Isso será usado para formar uma linha de comando equivalente a:

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -exec Bypass
  1. (Opcional) Ative Exibir > Janela imediata ( Ctrl+G) para verificar a execução e os logs de erros.
  2. Execute a Exploitmacro!

Uso 2 – PE incorporado

  1. Use pe2vba.pypara converter um arquivo PE em VBA. Dessa forma, ele pode ser incorporado diretamente na macro.
user@host:~/Tools/VBA-RunPE$ ./pe2vba.py meterpreter.exe 
[+] Created file 'meterpreter.exe.vba'.
  1. Substitua o código a seguir RunPE.vbapelo conteúdo do .vbaarquivo que foi gerado na etapa anterior. O script Python converte o PE em VBA e aplica o modelo RunPE automaticamente (não é necessário copiar / colar manualmente).
' ================================================================================
'                                ~~~ EMBEDDED PE ~~~
' ================================================================================

' CODE GENRATED BY PE2VBA
' ===== BEGIN PE2VBA =====
Private Function PE() As String
    Dim strPE As String
    strPE = ""
    PE = strPE
End Function
' ===== END PE2VBA =====
  1. (Opcional) Ative Exibir > Janela imediata ( Ctrl+G) para verificar a execução e os logs de erros.
  2. Execute a Exploitmacro!

/! \ Ao usar um PE incorporado, a macro alterna automaticamente para esse modo porque o PE()método retornará uma seqüência de caracteres não vazia.

Testes

Este código foi testado nas seguintes plataformas:

  • Windows 7 Pro 32 bits + Office 2010 32 bits
  • Windows 7 Pro 64 bits + Office 2016 32 bits
  • Windows 2008 R2 64 bits + Office 2010 64 bits
  • Windows 10 Pro 64 bits + Office 2016 64 bits

Download

Hacking Grupo Telegram