Конкурс Злая GIF-ка или веселое заражение "клиентуры"

Всем привет, решил описать как мне кажется веселый метод заражения наших с вами "любимых клиентов" Все будет как Мы любим, весело, легко и без палевно)
Тема была предназначена для Грей-секции но она по каким то причинам упорно не хотела туда ложится по этому и было принято решение выложить сюда, хотя бы на конкурс и статья для него не последняя! Надеюсь..

Поехали!)

Идем искать картинку (живую) то есть gif-ку .. была выбрана ) далее нам по требуется код:

генерируем powershell в Empire или Metasploit я выбрал ..

Screenshot_9.png



>>><<<

и вставляем в 37 строчку, между)

Screenshot_1.png


далее переходим на очень полезный онлайн иногда кстати выручает для различного рода задач, например кодировке IP адреса в бинарник для последущего его скрытия, не множечко отступлю от темы покажу: например скрываем 127.0.0.1

127 = 1111111, 0 = 0 и 1 = 1 преобразовываем точки и получаем 01111111000000000000000000000001 = 2130706433 ИТОГ http: // 2130706433

так вот переводим нашу GIF-ку в формат base64, копируем полученную кодировочку и вставляем в

Screenshot_10.png



Screenshot_2.png


как видите в 17 строку)

Осталось последнее действие конвертировать, а точнее обфусцировать, то есть спрятать вредный код от антивирусов в этой замечательной

Screenshot_3.png


сохраняем полученный код в блокноте, под любым именем но в формате .hta < -- что это за формат, у нас написано здесь Пингвиныч, привет!)) "Решил я продолжит твою темку)"

Заключение: При запуске у жертвы появится Ваша злая GIF-ka c котикам или c ..уем), а к Вам прилетит заветная сессия) при желании можно иконку навесить (не знаю как, если кто знает, подскажите) и


ДЕТЕКТА НЕТ!!!

просьба) не тестить!


Без имени-1.jpg
 
Последнее редактирование:

Ondrik8

prodigy
Green Team
08.11.2016
1 129
3 188
BIT
0
НЕ МОГУ ВСТАВИТЬ КОД СКРИПТА! ВЫДАЕТ ОШИБКУ!)
 
  • Нравится
Реакции: MEBIUS

Сергей Попов

Кодебай
30.12.2015
4 720
6 707
BIT
371
НЕ МОГУ ВСТАВИТЬ КОД СКРИПТА! ВЫДАЕТ ОШИБКУ!)
Печально, что приходится объяснять комане форума куда и в каком виде постить баги. Информации, представленной в сообщении, как минимум недостаточно. По всей видимости сработала WAF защита от вредоносного кода. Чего мы хотим от обычных юзеров в таком случае ...
 
  • Нравится
Реакции: lameruser
K

kamaz

есть возможность при таком раскладе заменить пайлоад на исполняемый скрипт?
спасибо
 

arees

Green Team
08.10.2017
37
28
BIT
0
Всем привет, решил описать как мне кажется веселый метод заражения наших с вами "любимых клиентов" Все будет как Мы любим, весело, легко и без палевно)
Тема была предназначена для Грей-секции но она по каким то причинам упорно не хотела туда ложится по этому и было принято решение выложить сюда, хотя бы на конкурс и статья для него не последняя! Надеюсь..

Поехали!)

Идем искать картинку (живую) то есть gif-ку .. была выбрана ) далее нам по требуется код:

генерируем powershell в Empire или Metasploit я выбрал ..

Посмотреть вложение 14976


>>><<<

и вставляем в 37 строчку, между)

Посмотреть вложение 14977

далее переходим на очень полезный онлайн иногда кстати выручает для различного рода задач, например кодировке IP адреса в бинарник для последущего его скрытия, не множечко отступлю от темы покажу: например скрываем 127.0.0.1

127 = 1111111, 0 = 0 и 1 = 1 преобразовываем точки и получаем 01111111000000000000000000000001 = 2130706433 ИТОГ http: // 2130706433

так вот переводим нашу GIF-ку в формат base64, копируем полученную кодировочку и вставляем в

Посмотреть вложение 14978


Посмотреть вложение 14979

как видите в 17 строку)

Осталось последнее действие конвертировать, а точнее обфусцировать, то есть спрятать вредный код от антивирусов в этой замечательной

Посмотреть вложение 14980

сохраняем полученный код в блокноте, под любым именем но в формате .hta < -- что это за формат, у нас написано здесь Пингвиныч, привет!)) "Решил я продолжит твою темку)"

Заключение: При запуске у жертвы появится Ваша злая GIF-ka c котикам или c ..уем), а к Вам прилетит заветная сессия) при желании можно иконку навесить (не знаю как, если кто знает, подскажите) и


ДЕТЕКТА НЕТ!!!


просьба) не тестить!



Мож
Всем привет, решил описать как мне кажется веселый метод заражения наших с вами "любимых клиентов" Все будет как Мы любим, весело, легко и без палевно)
Тема была предназначена для Грей-секции но она по каким то причинам упорно не хотела туда ложится по этому и было принято решение выложить сюда, хотя бы на конкурс и статья для него не последняя! Надеюсь..

Поехали!)

Идем искать картинку (живую) то есть gif-ку .. была выбрана ) далее нам по требуется код:

генерируем powershell в Empire или Metasploit я выбрал ..

Посмотреть вложение 14976


>>><<<

и вставляем в 37 строчку, между)

Посмотреть вложение 14977

далее переходим на очень полезный онлайн иногда кстати выручает для различного рода задач, например кодировке IP адреса в бинарник для последущего его скрытия, не множечко отступлю от темы покажу: например скрываем 127.0.0.1

127 = 1111111, 0 = 0 и 1 = 1 преобразовываем точки и получаем 01111111000000000000000000000001 = 2130706433 ИТОГ http: // 2130706433

так вот переводим нашу GIF-ку в формат base64, копируем полученную кодировочку и вставляем в

Посмотреть вложение 14978


Посмотреть вложение 14979

как видите в 17 строку)

Осталось последнее действие конвертировать, а точнее обфусцировать, то есть спрятать вредный код от антивирусов в этой замечательной

Посмотреть вложение 14980

сохраняем полученный код в блокноте, под любым именем но в формате .hta < -- что это за формат, у нас написано здесь Пингвиныч, привет!)) "Решил я продолжит твою темку)"

Заключение: При запуске у жертвы появится Ваша злая GIF-ka c котикам или c ..уем), а к Вам прилетит заветная сессия) при желании можно иконку навесить (не знаю как, если кто знает, подскажите) и


ДЕТЕКТА НЕТ!!!


просьба) не тестить!



Блин тоже бахнуть хотел такую же почти статью автор не против если такую же пущу только с испльзованием Metasploit ну не много сдеру конечно с твоей статьи
 

ghostphisher

местный
07.12.2016
2 602
3 413
BIT
0
есть только один минус, мб он только у меня - при работе с SEP уходит большое кол-во времени на загрузку кода - минут 10-15, порой оторажает загруженный код, но все долго долго висит , прошу отписаться - как у других с этим по времени?
ОС Parrot.
 

kot-gor

Well-known member
07.09.2016
529
705
BIT
0
у меня gif отрабатывает (картинка правда очень маленькая 5 на 5 см) , только вот сессия не прилетает...

---- Добавлено позже ----

может определенным стейжером нужно пользоваться..? делал полезную нагрузку даже в уникорне..всё равно тоже пальто..
 
Последнее редактирование:

Ondrik8

prodigy
Green Team
08.11.2016
1 129
3 188
BIT
0
вы че элита?)) простой скрипт не можете осилить... Вы прикалываетесь?) или тролите меня?
 
  • Нравится
Реакции: lameruser

ghostphisher

местный
07.12.2016
2 602
3 413
BIT
0
На самом деле тут так:

1) При работе с виртуалкой (виртуалка жирная 8 гигов 50% проца) - зависает на обработке, при работе с установленного дистра все норм
2) Действительно с сессией есть проблемы из 20 раз 1 успешно
3) Зависит от Винды - на образе для виртуалки Win7 тоже открылось окошком мелким и как картинка - сессии нет, на заинсталенной Win8.1 через раз (а то и более см п.2)
 
  • Нравится
Реакции: Vertigo

Ondrik8

prodigy
Green Team
08.11.2016
1 129
3 188
BIT
0
в боевых условиях на VPS все норм прилетает.
 

kot-gor

Well-known member
07.09.2016
529
705
BIT
0
только в империи тестил ? каким стэйжером пользовался? у меня на 7 винде.. хоть убей сессия не прилетает.. тестил чисто полезную нагрузку..всё работает..может есть какие то ньюансы. Я делал и для метасплойта и для империи
 

Ondrik8

prodigy
Green Team
08.11.2016
1 129
3 188
BIT
0
Empire стажер не юзал как видишь launcher и имя листенера просто генеришь powershell и вставляешь, картинку переводишь в формат base64, кодировку вставляешь.. в указанyую строку сохраняешь все в формате file.hta
 
Последнее редактирование:

kot-gor

Well-known member
07.09.2016
529
705
BIT
0
слушай подскажи а для метасплойта чем лучше генерить,на твой взгляд, я пользуюсь скриптом даркноде и единорогом..
империей пользуюсь в крайнем случае..не по душе она мне..)
 

Ondrik8

prodigy
Green Team
08.11.2016
1 129
3 188
BIT
0
едонорог! самое то... не знаю как он с обфускацией работает, но исполняет норм!
 
  • Нравится
Реакции: OneDollar
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!