ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
20.03.2018, 01:34
|
|
Guest
Сообщений: n/a
Провел на форуме:
6236
Репутация:
0
|
|
md5: d65c1c15a30c58043c3c0246f2e39510
Не могу достать пейлоад.
Подтупливаю.
Попробовал достать с помощью ole-tools'в - не алё.
В сети внятного объяснения, как получить из rtf-файла ole-объект не нашел.
Так понимаю, если смотреть руками, то объект:
Сообщение от None
\object \objemb \objupdate {\*\objdata {\*\par242 0}{\*\par112 1}{\*\par55 0}{\*\par901 5}{\*\par725 0}{\*\par971 0}{\*\par709 0}{\*\par814 0}{\*\par867 0}{\*\par774 2}
{\*\par954 0}{\*\par425 0}{\*\par458 0}{\*\par611 0}{\*\par578 0} и тд.
Не нашел в спецификации как понять par"цифра".
После par"цифра" стоит число в hex'е. В виду чего предполагаю, что всего лишь на всего нужно эти hex-значения расставить в правильном порядке.
Только не могу понять в каком.
Если принять, что par"цифра" это порядковый номер hex=значения, то не клеится потому что в \objdata может быть несколько par с одинаковыми "цифрами".
Может быть вообще не в ту сторону смотрю?
Прошу прошения, если получилось не понятно. |
|
|
|
20.03.2018, 02:06
|
|
Guest
Сообщений: n/a
Провел на форуме:
6236
Репутация:
0
|
|
Сообщение от BabaDook
BabaDook said:
↑
Так зачем тебе? В образовательных целях? Или ты поймал файл такой ? Я не оч понимаю твою конечную цель В принципе верно всё вышеуказанное верно.
Словил такой файл.
Сейчас я хотел бы достать из этого .rtf, то, что туда передали полезной нагрузкой.
Так понимаю там будет либо, бинарный файл, либо команда для запуска cmd/powershell/mshta, скачивания файла и его запуска.
Зачастую бОльшая часть малварей стучит наружу. Поэтому конечная цель: 1) Получить домен; 2) Полностью понять механизм проведения атаки; 3) Узнать что-то новое по итогу (В данном случае имею в в виду как достать из RTF-файла объект).
|
|
|
|
20.03.2018, 02:49
|
|
Guest
Сообщений: n/a
Провел на форуме:
238786
Репутация:
40
|
|
Сообщение от killanas
killanas said:
↑
В принципе верно всё вышеуказанное верно.
Словил такой файл.
Сейчас я хотел бы достать из этого .rtf, то, что туда передали полезной нагрузкой.
Так понимаю там будет либо, бинарный файл, либо команда для запуска cmd/powershell/mshta, скачивания файла и его запуска.
Зачастую бОльшая часть малварей стучит наружу. Поэтому конечная цель: 1) Получить домен; 2) Полностью понять механизм проведения атаки; 3) Узнать что-то новое по итогу (В данном случае имею в в виду как достать из RTF-файла объект). поделись файликом. Попробую разгадаться
|
|
|
|
20.03.2018, 02:51
|
|
Guest
Сообщений: n/a
Провел на форуме:
6236
Репутация:
0
|
|
Сообщение от BabaDook
BabaDook said:
↑
поделись файликом. Попробую разгадаться С первым и вторым разобрался. По итогу через cmd скачивается с домена msi-пакет). rtfobj работает на ура конечно (Раньше не пользовался, видимо по этому тормозил).
Интерес по декодированию /object остался. Может кто статейку, описание или документашку годную подкинет кто.
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
