• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Конкурс Злая GIF-ка или веселое заражение "клиентуры"

Ondrik8

Ondrik8

prodigy
Happy New Year
08.11.2016
1 006
2 988
Всем привет, решил описать как мне кажется веселый метод заражения наших с вами "любимых клиентов" Все будет как Мы любим, весело, легко и без палевно)
Тема была предназначена для Грей-секции но она по каким то причинам упорно не хотела туда ложится по этому и было принято решение выложить сюда, хотя бы на конкурс и статья для него не последняя! Надеюсь..

Поехали!)

Идем искать картинку (живую) то есть gif-ку .. была выбрана ) далее нам по требуется код:

генерируем powershell в Empire или Metasploit я выбрал ..

Злая GIF-ка или веселое заражение "клиентуры"



>>><<<

и вставляем в 37 строчку, между)

Злая GIF-ка или веселое заражение "клиентуры"


далее переходим на очень полезный онлайн иногда кстати выручает для различного рода задач, например кодировке IP адреса в бинарник для последущего его скрытия, не множечко отступлю от темы покажу: например скрываем 127.0.0.1

127 = 1111111, 0 = 0 и 1 = 1 преобразовываем точки и получаем 01111111000000000000000000000001 = 2130706433 ИТОГ http: // 2130706433

так вот переводим нашу GIF-ку в формат base64, копируем полученную кодировочку и вставляем в

Злая GIF-ка или веселое заражение "клиентуры"



Злая GIF-ка или веселое заражение "клиентуры"


как видите в 17 строку)

Осталось последнее действие конвертировать, а точнее обфусцировать, то есть спрятать вредный код от антивирусов в этой замечательной

Злая GIF-ка или веселое заражение "клиентуры"


сохраняем полученный код в блокноте, под любым именем но в формате .hta < -- что это за формат, у нас написано здесь Пингвиныч, привет!)) "Решил я продолжит твою темку)"

Заключение: При запуске у жертвы появится Ваша злая GIF-ka c котикам или c ..уем), а к Вам прилетит заветная сессия) при желании можно иконку навесить (не знаю как, если кто знает, подскажите) и


ДЕТЕКТА НЕТ!!!

просьба) не тестить!


Злая GIF-ка или веселое заражение "клиентуры"
 
Последнее редактирование:
Ondrik8

Ondrik8

prodigy
Happy New Year
08.11.2016
1 006
2 988
НЕ МОГУ ВСТАВИТЬ КОД СКРИПТА! ВЫДАЕТ ОШИБКУ!)
 
  • Нравится
Реакции: MEBIUS
The Codeby

The Codeby

ООО Кодебай
30.12.2015
3 228
4 630
НЕ МОГУ ВСТАВИТЬ КОД СКРИПТА! ВЫДАЕТ ОШИБКУ!)
Печально, что приходится объяснять комане форума куда и в каком виде постить баги. Информации, представленной в сообщении, как минимум недостаточно. По всей видимости сработала WAF защита от вредоносного кода. Чего мы хотим от обычных юзеров в таком случае ...
 
  • Нравится
Реакции: lameruser
K

kamaz

есть возможность при таком раскладе заменить пайлоад на исполняемый скрипт?
спасибо
 
r0hack

r0hack

DAG
Gold Team
29.09.2017
481
900
@Ondrik8 если статья на конкурс, то поставь тег codeby_phdays
 
arees

arees

Active member
08.10.2017
37
27
Всем привет, решил описать как мне кажется веселый метод заражения наших с вами "любимых клиентов" Все будет как Мы любим, весело, легко и без палевно)
Тема была предназначена для Грей-секции но она по каким то причинам упорно не хотела туда ложится по этому и было принято решение выложить сюда, хотя бы на конкурс и статья для него не последняя! Надеюсь..

Поехали!)

Идем искать картинку (живую) то есть gif-ку .. была выбрана ) далее нам по требуется код:

генерируем powershell в Empire или Metasploit я выбрал ..

Посмотреть вложение 14976


>>><<<

и вставляем в 37 строчку, между)

Посмотреть вложение 14977

далее переходим на очень полезный онлайн иногда кстати выручает для различного рода задач, например кодировке IP адреса в бинарник для последущего его скрытия, не множечко отступлю от темы покажу: например скрываем 127.0.0.1

127 = 1111111, 0 = 0 и 1 = 1 преобразовываем точки и получаем 01111111000000000000000000000001 = 2130706433 ИТОГ http: // 2130706433

так вот переводим нашу GIF-ку в формат base64, копируем полученную кодировочку и вставляем в

Посмотреть вложение 14978


Посмотреть вложение 14979

как видите в 17 строку)

Осталось последнее действие конвертировать, а точнее обфусцировать, то есть спрятать вредный код от антивирусов в этой замечательной

Посмотреть вложение 14980

сохраняем полученный код в блокноте, под любым именем но в формате .hta < -- что это за формат, у нас написано здесь Пингвиныч, привет!)) "Решил я продолжит твою темку)"

Заключение: При запуске у жертвы появится Ваша злая GIF-ka c котикам или c ..уем), а к Вам прилетит заветная сессия) при желании можно иконку навесить (не знаю как, если кто знает, подскажите) и


ДЕТЕКТА НЕТ!!!


просьба) не тестить!



Мож
Всем привет, решил описать как мне кажется веселый метод заражения наших с вами "любимых клиентов" Все будет как Мы любим, весело, легко и без палевно)
Тема была предназначена для Грей-секции но она по каким то причинам упорно не хотела туда ложится по этому и было принято решение выложить сюда, хотя бы на конкурс и статья для него не последняя! Надеюсь..

Поехали!)

Идем искать картинку (живую) то есть gif-ку .. была выбрана ) далее нам по требуется код:

генерируем powershell в Empire или Metasploit я выбрал ..

Посмотреть вложение 14976


>>><<<

и вставляем в 37 строчку, между)

Посмотреть вложение 14977

далее переходим на очень полезный онлайн иногда кстати выручает для различного рода задач, например кодировке IP адреса в бинарник для последущего его скрытия, не множечко отступлю от темы покажу: например скрываем 127.0.0.1

127 = 1111111, 0 = 0 и 1 = 1 преобразовываем точки и получаем 01111111000000000000000000000001 = 2130706433 ИТОГ http: // 2130706433

так вот переводим нашу GIF-ку в формат base64, копируем полученную кодировочку и вставляем в

Посмотреть вложение 14978


Посмотреть вложение 14979

как видите в 17 строку)

Осталось последнее действие конвертировать, а точнее обфусцировать, то есть спрятать вредный код от антивирусов в этой замечательной

Посмотреть вложение 14980

сохраняем полученный код в блокноте, под любым именем но в формате .hta < -- что это за формат, у нас написано здесь Пингвиныч, привет!)) "Решил я продолжит твою темку)"

Заключение: При запуске у жертвы появится Ваша злая GIF-ka c котикам или c ..уем), а к Вам прилетит заветная сессия) при желании можно иконку навесить (не знаю как, если кто знает, подскажите) и


ДЕТЕКТА НЕТ!!!


просьба) не тестить!



Блин тоже бахнуть хотел такую же почти статью автор не против если такую же пущу только с испльзованием Metasploit ну не много сдеру конечно с твоей статьи
 
Ondrik8

Ondrik8

prodigy
Happy New Year
08.11.2016
1 006
2 988
нет, только ЗА!)
 
ghostphisher

ghostphisher

гарант codeby
Gold Team
07.12.2016
2 515
3 353
есть только один минус, мб он только у меня - при работе с SEP уходит большое кол-во времени на загрузку кода - минут 10-15, порой оторажает загруженный код, но все долго долго висит , прошу отписаться - как у других с этим по времени?
ОС Parrot.
 
Ondrik8

Ondrik8

prodigy
Happy New Year
08.11.2016
1 006
2 988
1 секунда
 
kot-gor

kot-gor

Gold Team
07.09.2016
523
682
у меня gif отрабатывает (картинка правда очень маленькая 5 на 5 см) , только вот сессия не прилетает...

---- Добавлено позже ----

может определенным стейжером нужно пользоваться..? делал полезную нагрузку даже в уникорне..всё равно тоже пальто..
 
Последнее редактирование:
Ondrik8

Ondrik8

prodigy
Happy New Year
08.11.2016
1 006
2 988
вы че элита?)) простой скрипт не можете осилить... Вы прикалываетесь?) или тролите меня?
 
  • Нравится
Реакции: lameruser
ghostphisher

ghostphisher

гарант codeby
Gold Team
07.12.2016
2 515
3 353
На самом деле тут так:

1) При работе с виртуалкой (виртуалка жирная 8 гигов 50% проца) - зависает на обработке, при работе с установленного дистра все норм
2) Действительно с сессией есть проблемы из 20 раз 1 успешно
3) Зависит от Винды - на образе для виртуалки Win7 тоже открылось окошком мелким и как картинка - сессии нет, на заинсталенной Win8.1 через раз (а то и более см п.2)
 
  • Нравится
Реакции: Vertigo
Ondrik8

Ondrik8

prodigy
Happy New Year
08.11.2016
1 006
2 988
в боевых условиях на VPS все норм прилетает.
 
kot-gor

kot-gor

Gold Team
07.09.2016
523
682
только в империи тестил ? каким стэйжером пользовался? у меня на 7 винде.. хоть убей сессия не прилетает.. тестил чисто полезную нагрузку..всё работает..может есть какие то ньюансы. Я делал и для метасплойта и для империи
 
Ondrik8

Ondrik8

prodigy
Happy New Year
08.11.2016
1 006
2 988
Empire стажер не юзал как видишь launcher и имя листенера просто генеришь powershell и вставляешь, картинку переводишь в формат base64, кодировку вставляешь.. в указанyую строку сохраняешь все в формате file.hta
 
Последнее редактирование:
kot-gor

kot-gor

Gold Team
07.09.2016
523
682
слушай подскажи а для метасплойта чем лучше генерить,на твой взгляд, я пользуюсь скриптом даркноде и единорогом..
империей пользуюсь в крайнем случае..не по душе она мне..)
 
Ondrik8

Ondrik8

prodigy
Happy New Year
08.11.2016
1 006
2 988
едонорог! самое то... не знаю как он с обфускацией работает, но исполняет норм!
 
  • Нравится
Реакции: OneDollar
Мы в соцсетях:  ТелеграмВконтактеДзенФейсбукТвиттерЮтуб