• Codeby web-security - Курс "Тестирование Веб-Приложений на проникновение с нуля" от команды codeby. Общая теория, подготовка рабочего окружения, пассивный фазинг и фингерпринт, Активный фаззинг, Уязвимости, Пост-эксплуатация, Инструментальные средства, Social Engeneering и многое другое. Подробнее ...

  • Мобильный клиент нашего форума для Android гаджетов доступен в Google Play Market по этой ссылке. Клиент можно скачать с нашего форума по этой ссылке. Последняя версия МК в нашем телеграм канале вот здесь

Конкурс Злая GIF-ка или веселое заражение "клиентуры"

08.11.2016
945
2 712
#1
Всем привет, решил описать как мне кажется веселый метод заражения наших с вами "любимых клиентов" Все будет как Мы любим, весело, легко и без палевно)
Тема была предназначена для Грей-секции но она по каким то причинам упорно не хотела туда ложится по этому и было принято решение выложить сюда, хотя бы на конкурс и статья для него не последняя! Надеюсь..

Поехали!)

Идем искать картинку (живую) то есть gif-ку .. была выбрана
Для просмотра контента необходимо: Войти или зарегистрироваться
) далее нам по требуется код:

генерируем powershell в Empire или Metasploit я выбрал ..

Screenshot_9.png


>>>
Для просмотра контента необходимо: Войти или зарегистрироваться
<<<

и вставляем в 37 строчку, между)

Screenshot_1.png

далее переходим на очень полезный онлайн
Для просмотра контента необходимо: Войти или зарегистрироваться
иногда кстати выручает для различного рода задач, например кодировке IP адреса в бинарник для последущего его скрытия, не множечко отступлю от темы покажу: например скрываем 127.0.0.1

127 = 1111111, 0 = 0 и 1 = 1 преобразовываем точки и получаем 01111111000000000000000000000001 = 2130706433 ИТОГ http: // 2130706433

так вот переводим нашу GIF-ку в формат base64, копируем полученную кодировочку и вставляем в

Screenshot_10.png


Screenshot_2.png

как видите в 17 строку)

Осталось последнее действие конвертировать, а точнее обфусцировать, то есть спрятать вредный код от антивирусов в этой замечательной
Для просмотра контента необходимо: Войти или зарегистрироваться


Screenshot_3.png

сохраняем полученный код в блокноте, под любым именем но в формате .hta < -- что это за формат, у нас написано здесь Пингвиныч, привет!)) "Решил я продолжит твою темку)"

Заключение: При запуске у жертвы появится Ваша злая GIF-ka c котикам или c ..уем), а к Вам прилетит заветная сессия) при желании можно иконку навесить (не знаю как, если кто знает, подскажите) и


ДЕТЕКТА НЕТ!!!

просьба) не тестить!


Без имени-1.jpg
 
Последнее редактирование:

WebWare Team

Администратор
30.12.2015
2 090
2 751
#4
НЕ МОГУ ВСТАВИТЬ КОД СКРИПТА! ВЫДАЕТ ОШИБКУ!)
Печально, что приходится объяснять комане форума куда и в каком виде постить баги. Информации, представленной в сообщении, как минимум недостаточно. По всей видимости сработала WAF защита от вредоносного кода. Чего мы хотим от обычных юзеров в таком случае ...
 

kamaz

Well-known member
14.01.2018
101
17
#5
есть возможность при таком раскладе заменить пайлоад на исполняемый скрипт?
спасибо
 

arees

Active member
08.10.2017
27
24
#7
Всем привет, решил описать как мне кажется веселый метод заражения наших с вами "любимых клиентов" Все будет как Мы любим, весело, легко и без палевно)
Тема была предназначена для Грей-секции но она по каким то причинам упорно не хотела туда ложится по этому и было принято решение выложить сюда, хотя бы на конкурс и статья для него не последняя! Надеюсь..

Поехали!)

Идем искать картинку (живую) то есть gif-ку .. была выбрана
Для просмотра контента необходимо: Войти или зарегистрироваться
) далее нам по требуется код:

генерируем powershell в Empire или Metasploit я выбрал ..

Посмотреть вложение 14976


>>>
Для просмотра контента необходимо: Войти или зарегистрироваться
<<<

и вставляем в 37 строчку, между)

Посмотреть вложение 14977

далее переходим на очень полезный онлайн
Для просмотра контента необходимо: Войти или зарегистрироваться
иногда кстати выручает для различного рода задач, например кодировке IP адреса в бинарник для последущего его скрытия, не множечко отступлю от темы покажу: например скрываем 127.0.0.1

127 = 1111111, 0 = 0 и 1 = 1 преобразовываем точки и получаем 01111111000000000000000000000001 = 2130706433 ИТОГ http: // 2130706433

так вот переводим нашу GIF-ку в формат base64, копируем полученную кодировочку и вставляем в

Посмотреть вложение 14978


Посмотреть вложение 14979

как видите в 17 строку)

Осталось последнее действие конвертировать, а точнее обфусцировать, то есть спрятать вредный код от антивирусов в этой замечательной
Для просмотра контента необходимо: Войти или зарегистрироваться


Посмотреть вложение 14980

сохраняем полученный код в блокноте, под любым именем но в формате .hta < -- что это за формат, у нас написано здесь Пингвиныч, привет!)) "Решил я продолжит твою темку)"

Заключение: При запуске у жертвы появится Ваша злая GIF-ka c котикам или c ..уем), а к Вам прилетит заветная сессия) при желании можно иконку навесить (не знаю как, если кто знает, подскажите) и


ДЕТЕКТА НЕТ!!!


просьба) не тестить!



Мож
Всем привет, решил описать как мне кажется веселый метод заражения наших с вами "любимых клиентов" Все будет как Мы любим, весело, легко и без палевно)
Тема была предназначена для Грей-секции но она по каким то причинам упорно не хотела туда ложится по этому и было принято решение выложить сюда, хотя бы на конкурс и статья для него не последняя! Надеюсь..

Поехали!)

Идем искать картинку (живую) то есть gif-ку .. была выбрана
Для просмотра контента необходимо: Войти или зарегистрироваться
) далее нам по требуется код:

генерируем powershell в Empire или Metasploit я выбрал ..

Посмотреть вложение 14976


>>>
Для просмотра контента необходимо: Войти или зарегистрироваться
<<<

и вставляем в 37 строчку, между)

Посмотреть вложение 14977

далее переходим на очень полезный онлайн
Для просмотра контента необходимо: Войти или зарегистрироваться
иногда кстати выручает для различного рода задач, например кодировке IP адреса в бинарник для последущего его скрытия, не множечко отступлю от темы покажу: например скрываем 127.0.0.1

127 = 1111111, 0 = 0 и 1 = 1 преобразовываем точки и получаем 01111111000000000000000000000001 = 2130706433 ИТОГ http: // 2130706433

так вот переводим нашу GIF-ку в формат base64, копируем полученную кодировочку и вставляем в

Посмотреть вложение 14978


Посмотреть вложение 14979

как видите в 17 строку)

Осталось последнее действие конвертировать, а точнее обфусцировать, то есть спрятать вредный код от антивирусов в этой замечательной
Для просмотра контента необходимо: Войти или зарегистрироваться


Посмотреть вложение 14980

сохраняем полученный код в блокноте, под любым именем но в формате .hta < -- что это за формат, у нас написано здесь Пингвиныч, привет!)) "Решил я продолжит твою темку)"

Заключение: При запуске у жертвы появится Ваша злая GIF-ka c котикам или c ..уем), а к Вам прилетит заветная сессия) при желании можно иконку навесить (не знаю как, если кто знает, подскажите) и


ДЕТЕКТА НЕТ!!!


просьба) не тестить!



Блин тоже бахнуть хотел такую же почти статью автор не против если такую же пущу только с испльзованием Metasploit ну не много сдеру конечно с твоей статьи
 

ghostphisher

гарант codeby
Gold Team
07.12.2016
2 233
2 721
#9
есть только один минус, мб он только у меня - при работе с SEP уходит большое кол-во времени на загрузку кода - минут 10-15, порой оторажает загруженный код, но все долго долго висит , прошу отписаться - как у других с этим по времени?
ОС Parrot.
 

kot-gor

Gold Team
07.09.2016
528
633
#13
у меня gif отрабатывает (картинка правда очень маленькая 5 на 5 см) , только вот сессия не прилетает...

---- Добавлено позже ----

может определенным стейжером нужно пользоваться..? делал полезную нагрузку даже в уникорне..всё равно тоже пальто..
 
Последнее редактирование:

ghostphisher

гарант codeby
Gold Team
07.12.2016
2 233
2 721
#15
На самом деле тут так:

1) При работе с виртуалкой (виртуалка жирная 8 гигов 50% проца) - зависает на обработке, при работе с установленного дистра все норм
2) Действительно с сессией есть проблемы из 20 раз 1 успешно
3) Зависит от Винды - на образе для виртуалки Win7 тоже открылось окошком мелким и как картинка - сессии нет, на заинсталенной Win8.1 через раз (а то и более см п.2)
 
Симпатии: Понравилось Vertigo

kot-gor

Gold Team
07.09.2016
528
633
#17
только в империи тестил ? каким стэйжером пользовался? у меня на 7 винде.. хоть убей сессия не прилетает.. тестил чисто полезную нагрузку..всё работает..может есть какие то ньюансы. Я делал и для метасплойта и для империи
 
08.11.2016
945
2 712
#18
Empire стажер не юзал как видишь launcher и имя листенера просто генеришь powershell и вставляешь, картинку переводишь в формат base64, кодировку вставляешь.. в указанyую строку сохраняешь все в формате file.hta
 
Последнее редактирование:

kot-gor

Gold Team
07.09.2016
528
633
#19
слушай подскажи а для метасплойта чем лучше генерить,на твой взгляд, я пользуюсь скриптом даркноде и единорогом..
империей пользуюсь в крайнем случае..не по душе она мне..)
 
Вверх Снизу