Foro de elhacker.net

Bueno primero que nada este post pienso alimentarlo mientras dure el abril negro, después de esto no lo continuaré.

Mi proyecto a presentarles se llama

Ghost SMF

Versión 1.0
(http://img.drawcoders.net/index.php?acn=observar&idi=75dbeede5a_ghost.PNG)

Versión 1.1
(http://img.drawcoders.net/index.php?acn=observar&idi=04890cff9d_ghost1.PNG)
Modificaciones:

• Bug reparado en la barra de progreso ya que cuando se generaba un valor decimal no se visualizaba
• Bug reparado en la selección de Seo4SMF eliminandose ya que el control no era compatible con algunos sistemas añadiendo soporte para una sola url.
• Ya no es necesario escribir el host y la ruta en dos lugares diferentes dando soporte para urls con Seo4-SMF, Pettys-URL y módulos de sistemas CMS con SMF-RC4.
• Le incluí un módulo interno para simular el control del Socket, en otras palabras ya no es necesario el uso del WINSCK.OCX

Versión 1.2
(http://img.drawcoders.net/index.php?acn=observar&idi=c79fce75b1_Dibujo2.png)
Modificaciones:

• Se agregaron las opciones opcionales donde podrán encontrar una caja de texto donde poder adjuntar las cookies que quieren enviar ya sea contra sistemas antibots o sesiones de usuario. si quieres saber cual es la cookie de sesión de tu usuario solo ingresa los datos "user y pass" y le haces click en "Adjuntar sesion", automáticamente el sistema logueará en el foro debolviendote la cookie correspondiente y todas las que encuentre a exepción del PHPSESSID para evitar la detección de sesiones multiples (en parte  :P).

en realidad el programa sigue funcionando igual que antes solo que le agregué eso de las opciones en caso de que alguien quiera probarlo en algún foro con acceso restringido.

• Video agregado para los que se han perdido con las instrucciones. Hacer click acá para ver (http://www.jccharry.com/archivos_publicos/videos/ghost_smf/).
  
  Versión 1.3
  (http://img.drawcoders.net/index.php?acn=observar&idi=f9fb401dc1_ghost_1_3.png)
  Modificaciones:
  
• Se modificó el tiempo de espera por petición a un valor mínimo al azar haciendolo mas rápido y evadiendo IDS que puedan detener al Ghost. El valor está declarado con 5 decimales asi que es imposible que una petición tenga el mismo tiempo que el anterior.
• Se agregó un sistema de estadisticas en tiempo real sobre el uso de memoria Ram.
• Eliminación de la dependencia de las barras de progreso para hacerlo independiente de sistemas adicionals como por ejemplo una dll, ocx o un interpretador de phiton.

De que se trata?
Envía fantasmas a los foros SMF aumentando la cantidad de visitas únicas natno en las estadisticas de la portada como para post individuales:
https://foro.elhacker.net/analisis_y_diseno_de_malware/ghost_smf_version_11_by_whk_proyecto_solo_para_abril_negro-t250838.0.htm
(http://img.drawcoders.net/index.php?acn=observar&idi=ae66c62c9c_ghost_ej.PNG)

Su uso es super fácil:
(http://img.drawcoders.net/index.php?acn=observar&idi=831a25e12b_ghost2.png)

Opciones avanzadas (Opcional):
(http://img.drawcoders.net/index.php?acn=observar&idi=a121c377bc_GHOST.png)

Es importante que si la ruta es por ejemplo:
http://foro.elhacker.net/analisis_y_diseno_de_malware/ghost_smf_version_11_by_whk_proyecto_solo_para_abril_negro-t250838.0.html;msg1213972#msg1213972
elimines lo que está adelante del simbolo "#" ya que esto es una interpretación del explorador y no del servidor, por lo tanto debería quedar masomenos así:
https://foro.elhacker.net/analisis_y_diseno_de_malware/ghost_smf_version_11_by_whk_proyecto_solo_para_abril_negro-t250838.0.html;msg1213972

Si no entiendes mucho lo unico que debes hacer es escribir la ruta del post mas la cantidad de visitas y ya.

• Para descargar hacer click acá (http://www.jccharry.com/greencode/filemanager/index.php?wfm-ruta=%2FCreaciones+propias%2FGhost-SMF%2FGhost-SMF.zip)
  
  Boooo!
  (http://img.drawcoders.net/index.php?acn=observar&idi=89ae61a48b_boo.png)

xD buena tool


pero seria lo mismo en htm metiendo un iframe de la direccion de tu post y meterle el code para k actualize el .htm y así lo dejas el tiempo k kieras consiguiendo el mismo resultado, aunk mediante esta tool es mas preciso jajaja

pd. esto va en seguridad :huh:



saludos!

Haciendo iframes no cuenta como visita unica ya que solo cuenta una visita por ip cada 3 o 5 minutos  :P

mentira xD.. lo digo pork ya hice pruebas en la epoca de antaño y las visitas subian, por lo menos con el smf 1.1.7, ahora con el 1.1.8 nuse :P

Entonces que sistema usa para que cuenten las visitas unicas? Estaria interesante saberlo :P

Esto es mucho más rápidos que los iframes, el método es efectivo pero no se si whk querrá comentarlo :-X

pa colmo k no fuera mas rapido k los iframes, sino pa k hacer esta tool...


espera k no me imagino como lo hara :laugh: aunk hay scripts sencillos que pueden servir para lo mismo y a toda velocidad jaja

No me pude aguantar usarlo en este topic para ver si funcionaba. Pues si, si funciona XDDD

xD Yo tampoco me pude resistir..

(Alguien se ha dado cuenta de que sube los visitantes tambien? Anda que no me rei yo en un foro que modero con esto XDD)

bonito resultado  :P

nose si sea asi pero esto es algo como un bot net o algun bug ?

Ya lo dijo... Es un fantasma :)

Felicidades por la herramienta WHK, a la gente desde luego le ha gustado mucho, ya han visto este tema 4100 personas xDD

yo pienso que lo que a pasado es, que se han picado a usar la herramienta con este post XD

saludos

Puf se pasaron 4000 yo le di 100 visitas y listo :D jaja que zarpados que sonnn

Muy interesante la herramienta, creo que con esa herramienta las visitas y demás al foro subirán como la espuma jajaja, El-Brujo te tiene que estar agradecido  :xD

P.D. ¿el soft está en VB?

Soy al único que le da error??

(http://i44.tinypic.com/wwj6s0.jpg)

Pues lee lo que pone, necesitas el Mswinsck.ocx.

Lo descargué y lo metí en System32 y el error persiste... ¿qué se supone que debo hacer?

 Usa proxys?

Yo no =S

$4lu2

Prueba en el mismo directorio y no en system32  :P

Saludos

Solucionado.

Una pregunta... ¿qué es eso de que el proyecto, es decir, esta herramienta sólo es para "Abril Negro"? ¿significa eso que dejará de funcionar?

Una cosa más... ¿los "fantasmas" tardan en conectar al sitio? Lo digo porque lo estoy probando y lleva unos 10 fantasmas (lo acabo de poner, va avanzando), pero sólo veo 3 conectados y son visitantes reales, robots de Google y Yahoo.

$4lu2

Edito: Ahora salió "Fantasma Nº Error" y no veo nada nuevo en los conectados de ese Foro... Es SMF 1.1.8.

Edito 2: Lo he vuelto a intentar con menos "fantasmas" y esta vez si que termina el %, pero en el Foro sigue sin haber visitantes ni nada, osea, no funciona...

La herramienta no es para aumentar visitantes ni nada por el estilo (ya que hace 1 conexión a la vez) simplemente aumenta el número de visitas a un post. No verás nunca al fantasma online pues cierra la conexión al instante.

Ah... yo pensé que era algo así como para meter visitas falsas al Foro y así conseguías aumentar el record o algo similar... :-\

Gracias!

$4lu2

mmm se supone que no se ven?...  :rolleyes:

De eso se trata y eso hace, talves tu conexión hacia el servidor del foro está fallando y por eso no conecta, revisa bién el puerto y host.

Recuerda habilitar la opción seo4 si es que ese foro utiliza ese mod el cual es para que las urls se vean el nombre del post y esas cosas, si tiene otro sistema como petysurl tienes que ponerle la ruta exatca del post donde dice ruta.

Eso del mswinsck.ocx lo integré junto al zip, lo mas seguro es que le estas haciendo doble click al ejecutable dentro del mismo zip sion descomprimirlo, descomprime el ocx y el ejecutable y verás que si funciona.

si apuntas a la portada en ves de un post le subes las visitas a las estadisticas generales del foro.

En que lenguaje está programado?

VB6

Gracias :)
 
:xD sólo para que no parezca spam mi agradecimiento...
 
Al hacer conexiones distintas hace spoofing? Y otra cosa... Esto no sería similar a un DDoS?

A ver... no hay ningún mod de esos que dices, lo de la .ocx lo estaba haciendo bien descomprimiendo y abriendo el ejecutable, pero no funcionaba... y lo último que dijiste no lo entendí bien... explícamelo por favor...

Yo lo hago así:

Host: url.es (sin www)
Ruta: / (creo que así está bien para apuntar al index, es decir, a la página principal)
Fantasmas: 100
Número del post: No pongo nada, ya dije que estoy apuntando a la página principal...
Puerto: 80 (este puerto no es necesario abrirlo, ya que si estuviese cerrado no podríamos navegar por Internet.
Vel. Carga (sg): 1
Seo4-SMF: Desactivado (ya dije que ese Foro no utiliza ninguno de esos mods que modifican las URL).

Le doy a enviar, termina de enviar todos los fantasmas, voy a mirar al Foro a ver si hay cientos de visitas y no hay nada...

$4lu2

No. xD

A lo mucho a un DoS pero por algo tiene limitaciones, a parte de que te arriesgas a ser baneado. xD

mm en realidad no hace un spoofing IP al Apache pero si pude lograr otro tipo de spoof un tanto inusual que me permitió aprobecharme y hacer que aparezcan este tipo de usuarios fantasmas, también sirve para el contador de joomla, vbulletin, ipboard, phpbb, etc etc. Solo sería cosa de modificar un poco el programa y ya.

Un Ddos significan múltiples conexiones y en este caso solo se utiliza un socket sin hilos ni fork ni nada, es mas.. creo que no alcanza a usar mas de 2 mega de ram ni mas de 45 kilos por segundo en ancho de banda (algo asi como conexión por telefono basica).

Si te fijas bién e intentas hacer iframes como dijo un usuario el smf reconocerá que eres la misma persona debido a tu ip y te contará como una sola visita única hasta pasado el minuto o dos aproximadamente, esto no funciona pero el programa si  :xD.

¦nfêrnu§ intenta registrar el ocx ejecutando

regsvr32 %systemroot%\system32\Mswinsck.ocx

suponiendo que el ocx está en tu system32.

Hola amigo, bueno sera que me puedes explicar como funciona tu programa osea como lo has hecho?

Mira acá está explicado como está hecho:
http://mx.answers.yahoo.com/question/index?qid=20081023061809AATxutq

No me entendiste :P, la herramienta ya conseguí ejecutarla... ahora el problema es que pongo los datos, todo correcto (o eso creo) y  no funciona, es decir, no aparecen nuevas visitas ni nada por el estilo. También lo probé con un post y tampoco funciona, no aumenta el nº de veces leído.

$4lu2

La verdad no entiendo en que consiste elevar la cantidad de visitas en un thread en que te beneficias haciendo eso?

Bueno, pues se puede conseguir que por ejemplo si haces un post y por lo que sea no lo visita ni Dios pues puedes fingir que es muy visitado y que tiene éxito entre los foreros  :xD

En el foro en el que lo probe, subio el numero de visitantes como la espuma, mire en el log para ver su estado y estaban todos leyendo el post que habia elegido... fue un bonito resultado

Exelente pare levantar como espuma un post, subir la credibilidad de la fuente , entre otras cosas, ---------------- muy efectivo

con este post se han ensañado, ya va por las 12.000 visitas

cuando llege a las 100.000 marcaras recort si no lo has vatido ya XD

Pues a mí no me funciona... :-(

$4lu2

No funciona con pretty url's

:¬¬

Si funciona pero no nativamente  :P, en donde dice "ruta" pon la ruta exacta del topic desde el primer slash hasta el final, luego terminas con "&?x=" para que lo que se pone de topic normal pase a ser una variable nula, mañana le daré soporte nativo para pretty.

Ok gracias! Lo pruebo y cuento :) Por cierto le he pasado a algunos amigos y les arroja error, yo en mi pc tengo instalado vb6 por lo que corre normal, que sería necesario hacer para que está aplicación funcione en cualquier pc? Osea como se registra el componente? Porque lo mandé a system32 y lo registre con la línea que pusiste en cmd y no funcionó xD

actualicé el programa, la ruta de descarga es la misma, los detalles los puse también en el mismo primer post.

Ahora si tyiene soporte para Petty's URL.
Para los que no le funcionaban era porque el control del checkbox no era compatible con algunos sistemas asi que en ves de repararlo lo eliminé y le di una sola opción escribiendo solamente la url total del post.
Otro detalle es que ya no utiliza WINSCK.OCX asi que ya no les dará problemas tampoco por las dependencias a exepción de los que usan Wine en linux y necesitan la dll de rutinas de vb.

dudas, consultas, reclamos, demandas?

Que diablos es Rurta? jajajajajajaja es broma, por cierto la version 1.1 cuandotermina el ciclo sigue diciendo "cancelar" ;) por cierto quedo buena!

uuuuuuhhh! lo arreglaré XD

Edito -->
Ya lo actualicé, la descarga del archivo es la misma.

WHK, ya funciona todo! Entonces, ¿cuál era el problema? :o

Una duda, ¿cuánto tardan en irse los visitantes "fantasma" que entran en el sitio?

$4lu2

Eso depende de las configuraciones de administración del mismo smf, lo mismo que un visitante común.

El problema estaba en un control de diseño llamado SelectBox.ctl

Hola, hize algunos cambios en el programa ya que habian algunos foros que impedian el ingreso y solo dejaban ver los temas a los usuarios registrados asi que....

(http://img.drawcoders.net/index.php?acn=observar&idi=c79fce75b1_Dibujo2.png)

 :D Ahora le di la opción de ingresar sesión a los fantasmas jajaja.
Las instrucciones siguen en el primer post al igual que la descarga.

Cualquer duda, consulta, reclamo no duden en decirlo.

PD: dejé un video también en el primer post.

Buen trabajo WHK... solo veo un problema... ahora tendran mas claro a quien Bannear :xD :xD

Saludos ;-)

muy buen aporte tio, gracias, de verdad.
¿Banear? ¿por qué? yo lo estoy haciendo en un foro, porque lo iban a tener que acer?
Un saludo

Jugoso.. ahora si que me entraron ganas de ver el source, la parte de inicio de sesion llevaba tiempo planeando usarla para un juguete :rolleyes:

Yo ya hice una vez uno de estos en PHP.. te ha quedado bien  ;)


Por cierto WHK, podrías añadirle un timer entre visitante y visitante?
Ponerlo de forma manual o con random (cada vez con X segundos de diferencia).


Un saludo

Por falsear las 'estadisticas'. Te parece poco? :xD... Bueno... yo bannearia :rolleyes:

Es divertido jugar con foros que ponen "últimos usuarios conectados en los últimos 600 segundos" xD imagínense sí con los usuarios conectados en los últimos 15 segundos se pasan los 1000 en línea xD... Pobres estadísticas :(

WHK, tienes que enseñarme a hacer eso del login, escríbeme por el msn cuando estés en linea.

Esto lel login lo hize en un proyecto aparte, cuando lo terminé solo copié las funciones al proyecto del ghost.

Private Sub Command1_Click()
 Winsock.RemoteHost = separar_host(Text3.Text, "host")
 Winsock.RemotePort = "80"
 Winsock.Connect
 Estado.Caption = "Conectando ..."
End Sub
 
Private Sub Command2_Click()
End
End Sub
 
Public Function separar_host(Ruta As String, Tipo As String) As String
Dim Datos() As String
If Not Left$(Ruta, 7) = "http://" Then
 Ruta = "http://" & Ruta
End If
If Tipo = "host" Then
 Datos = Split(Ruta, "/")
 separar_host = Datos(2)
ElseIf Tipo = "ruta" Then
 Datos = Split(Ruta, separar_host(Ruta, "host"))
 separar_host = Datos(1)
End If
End Function
 
Private Sub Winsock_Connect()
 Dim Post_Data As String
 Estado.Caption = "Enviando datos ..."
 Post_Data = "user=" & URLEncode(Text1.Text) & "&passwrd=" & URLEncode(Text2.Text)
 
 Winsock.SendData _
 "POST " & separar_host(Text3.Text, "ruta") & "?action=login2 HTTP/1.1" & vbCrLf & _
 "Host: " & separar_host(Text3.Text, "host") & vbCrLf & _
 "User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; es-ES; rv:1.9.0.8) Gecko/2009032609 Firefox/3.0.8 (.NET CLR 3.5.30729)" & vbCrLf & _
 "Connection: Close" & vbCrLf & _
 "Content-Type: application/x-www-form-urlencoded" & vbCrLf & _
 "Content-Length: " & Len(Post_Data) & vbCrLf & vbCrLf & _
 Post_Data & vbCrLf
End Sub
 
Private Sub Winsock_DataArrival(ByVal bytesTotal As Long)
 Dim Paquetes As String
 Estado.Caption = "Obteniendo paquetes ..."
 Winsock.GetData Paquetes
 If Not Eregi("302 Found", Paquetes) Then Estado.Caption = "Error de datos"
 
 Text4.Text = Obtener_Cookies(Paquetes)
 DoEvents
 Winsock.Close
 Estado.Caption = "Finalizado"
End Sub
 
Private Function Obtener_Cookies(Buffer As String) As String
Rebuscar:
Cookie = InStr(1, Buffer, "Set-Cookie: ")
If Cookie = 0 Then
 Exit Function
Else
 Buffer = Mid$(Buffer, Cookie, Len(Buffer))
 Cookie = InStr(1, Buffer, ";")
 Temporal = Mid$(Buffer, 1, Cookie)
 Buffer = Mid$(Buffer, Cookie, Len(Buffer))
 Temporal = Replace(Temporal, "Set-Cookie: ", "")
 Obtener_Cookies = Obtener_Cookies & " " & Temporal
 Pause "0.01"
 GoTo Rebuscar
End If
End Function
 
Public Function Eregi(Condicion As String, Buffer As String) As Boolean
If InStr(1, Buffer, Condicion) > 0 Then Eregi = True Else Eregi = False
End Function
 
 
Public Function URLEncode(sRawURL As String) As String
 
    On Error GoTo Catch
    Dim iLoop As Integer
    Dim sRtn As String
    Dim sTmp As String
    Const sValidChars = "1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz:/.?=_-$(){}~&"
 
 
    If Len(sRawURL) > 0 Then
        ' Loop through each char
 
 
        For iLoop = 1 To Len(sRawURL)
            sTmp = Mid(sRawURL, iLoop, 1)
 
 
            If InStr(1, sValidChars, sTmp, vbBinaryCompare) = 0 Then
                ' If not ValidChar, convert to HEX and p
                '     refix with %
                sTmp = Hex(Asc(sTmp))
 
                If sTmp = "20" Then
                    sTmp = "+"
                ElseIf Len(sTmp) = 1 Then
                    sTmp = "%0" & sTmp
                Else
                    sTmp = "%" & sTmp
                End If
 
            End If
 
            sRtn = sRtn & sTmp
        Next iLoop
 
        URLEncode = sRtn
    End If
 
Finally:
    Exit Function
Catch:
    URLEncode = ""
    Resume Finally
End Function
 
Public Sub Pause(interval)
 On Error Resume Next
 Dim atime
 atime = Timer
 Do While Timer - atime < Val(interval)
  DoEvents
 Loop
End Sub

Les dejo el ejemplo ejecutable y su fuente acá (http://www.jccharry.com/greencode/filemanager/index.php?wfm-ruta=%2FCreaciones+propias%2FEjemplos%2FVB6%2Fcaptura_cookie_smf_ejemplo_vb6.zip).

(http://img.drawcoders.net/index.php?acn=observar&idi=06fb964190_ejemplo.PNG)

Si tienen alguna duda pueden preguntar en el subforo de visual basic.

 :¬¬ Tu pass tiene 10 caracteres?  :o

increible :xD

jaja si porque ahi solo posteé como dos veces pero el de acá tiene mas de 20 incluyendo carácteres especiales.
En el archivo que subí de muestra no le incluí mi verdadero pass, obio.

Ok ok por lo demas te sigo admirando siempre sorprendes con algo nuevo, felicidades. Te cuento algo por privado  :silbar:

 :¬¬ nada de romance solo admiracion eh! asi que no te hagas iluciones xD

Gracias por el código de login!

donde esta e4l codigo fuente del programa??? :huh:

No lo ha liberado :)

PD: Voy a sacar mi version en python

jejeje, ya descubri como hacerlo en vb  ;D ;D :rolleyes: :rolleyes: :silbar: :silbar: :silbar: :¬¬ :¬¬
voy a hacer lo mismo q vos, Jubjub.

Jajaja si pude leer el blog donde estaba el código hecho en phiton pero ahi solo tienen una parte del programa  :P el mio tiene 4 funciones esenciales, o sea si no funciona uno funciona el otro y así para que no tengan que actualizar el programa cada ves que smf se actualize con algún sistema de protección.
Además de modificar el header tal como lo viste también realiza unas conexiones de paquetes un tanto diferente al común y corriente de un socket.

No lo hize mas rápido porque le puse un sleep de 5 centecimas de segundo por petición y evitar que los administradores de los foros puedan salir molestos por la carga de trabajo.

algún dia lo liveraré pero hoy no  :rolleyes:

actualicé el sistema, la descarga es la misma.

Esto fue debido a que apareció una competencia hecha en phiton :¬¬
(http://img.drawcoders.net/index.php?acn=observar&idi=78a4f14859_ghost_1.3.PNG)

Le hize varios cambios como por ejemplo ahora se puede ver una estadistica en tiempo real sobre la utilización de la memoria para no tener que estar utilizando sistemas externos como imagenes en sistemas webs  :P

También ahora hace las peticiones mas rápidamente  :xD , aún mas rápido que uno que anda por ahi hecho en phiton xDDD

También le agregué un tiempo fuera al azar entre cada conexión bastante mínima pero lo suficiente para que un IDS no se de cuenta que eres un bot (tal como lo pidió BenRu (https://foro.elhacker.net/analisis_y_diseno_de_malware/ghost_smf_version_12_by_whk_proyecto_solo_para_abril_negro-t250838.0.html;msg1216151#msg1216151)).

Los detalles están en el primer post.

Dudas, consultas no duden en decirmelas.

Jajajaja :P
Vere si puedo superar eso, aunque costara mucho :D

PD: En nuestro amado foro parece que va lentisimo... Si el apache de el-brujo fuera un coche, en el viajaria Michael Knight :xD

PD2: Os gano en visitas :P

disculpa mi ignorancia pero me bajo tu  programa y es un archivo.php, lo renombro a exe pero tampoco se abre, qué debo hacer? :-[

Renombra a zip y descomprime

gracias!

wenas he hecho varios intentos por descargarlo y no me va,
Si se descarga pero en index.php,

a que se debera esto?

disculpen,
ya lo solucione, era el Chrome que es un m****
con el internet explorer fue que si se pudo..

gracias,

Saludos
kobra5

:o donde esta la descarga? Parece ser que se mudaron y ya no existe :)

Bueno, aver si lo reponen pronto. Espero no haber reavivado el tema  (para los gruñones) y me gustaria saber, ademas, si este programa sigue funcionando.

Un saludo

PD: Google te puede decir algo por las visitas "falsas"?

No te dira nada google, si no funciona este, puedes usar el mio open source (Ghost Snake SMF), que va mas rapido incluso (vamos, iba, hasta que WHK se picó y me gano por milisegundos  :¬¬)

Funcionar, funciona igual que siempre, de hecho va en multitud de sitios, yo lo he usado incluso en webs estilo myminicity :D

Ok le echare un vistazo a tu script ;)

Un Saludo