Продается CVE-2024-30088

[WhiteDragon]

Цена

1500

Контакты

001CBD96448F3195F388C0346D6395F36C38795065D3CED8530814CCA7C3EB7EF94EBF08F0E0

Продаю собранный CVE-2024-30088 в powershell с loadpe с обходом amsi и etw.
Выход файла в .ps1 - можете загрузить на пастбин и одной командой скачивать.
Патчит амси и запускает сплойт в памяти.
Повышает привелегии с любых прав до SYSTEM на системах Windows 10, 11, 2016, 2019.

 

[PAYDAY]

стукнул в токс

 

[kosok11]

стукнул

 

[boyarin_polkan]

Интересная ситуация сложилась. Пару недель назад FRG создал тему о поиске ЛПЕ. JunndeBoom отписался и сказал, что у него есть вариант за 50К. Я написал JunndeBoom в ПМ и сказал, что готов рассмотреть вариант в 50К (скрин переписки добавил). Он добавил меня в Токс. Потом пропал так и ничего не рассказав о своем продукте за 50К. Ну, да и ладно. Я оставил его.

Сегодня я смотрю пост WhiteDragon о CVE-2024-30088. И вот как раз появляется JunndeBoom с предложением эксплойта за 50К. Как думаете, какая CVE? Да, да... она же. CVE-2024-30088. Переписку добавляю.

Помогите разобраться. Совесть не позволяет пальцем тыкать кто барыга без общественного мнения. А вдруг ошибаюсь.

[pending] : 2024-08-23
[14:51:55] DIFFER:
LPE

Участники
boyarin_polkanJunndeBoom Дата начала 9 мин. назад

Пометить
Отметить как непрочитанное
Покинуть
boyarin_polkan
boyarin_polkan
RAID-массив
Пользователь

Регистрация
15.03.2024

Сообщения
61

Реакции
15

Гарант сделки
5

9 мин. назад
Новое
я готов рассмотреть вариант LPEs за 50к. я в токсе

qTOX: B2359F18144DC1CAE192911CE308CB907406058655EC8A31FE6E9CEB9C86187C68832904A919

[14:52:30] boyarin_polkan: привет
[14:52:48] boyarin_polkan: сорри вчера на связи не было. домашние дела были
[pending] : 2024-08-26
[14:23:02] DIFFER: Приветствую! Я тут, все норм) домашние дела - это приоритет #1 )
[14:40:46] boyarin_polkan: привет! с понедельником
[14:42:13] boyarin_polkan: что у тебя имеется в ассортименте? ЛПЕ интересуют, но и вообще много чего. напиши что имеется в наличии
[15:43:26] boyarin_polkan: ты когда бываешь здесь? никак не поймать тебя
[pending] : 2024-08-28
[14:00:49] boyarin_polkan: странно что не отписываешь
[pending] : 2024-09-09
[21:30:33] DIFFER: Приветствую. Прошу прощения был в отъездах, а токс на сервере включенный оставил.
[21:30:40] DIFFER: Отпишите как будете тут пожалуйста.
[pending] : 2024-09-10
[16:42:29] boyarin_polkan: Привет. Бывает. Я здесь
[16:50:37] DIFFER: Ок гуд, я тоже
[16:51:24] DIFFER: Итак можем обсудить по поводу LPE мы сами команда разработчиков, под LPE есть сейчас 1 место свободное на поддержку. Так же для постоянных наших партнеров у нас есть приватный c2 с обходом всех топовых ЕДР
[16:53:29] boyarin_polkan: щас минутку
[16:57:51] boyarin_polkan: > под LPE есть сейчас 1 место свободное на поддержку
до конца не понимаю что вы имеете ввиду "поддержка? вы не продаете экплойты, а продаете что именно подразумевает "поддержка"?
[16:58:36] boyarin_polkan: > приватный c2 с обходом всех топовых ЕДР
как работает этот сервис?
[17:00:40] DIFFER: подержка подразумевает что вы покупаете софт и мы после продажи не теряемся как другие продавцы, мы на связи и помогаем с продуктом
[17:01:19] boyarin_polkan: вы билд продаете или исходник тоже?
[17:02:12] DIFFER: билд только, исходник если вы хотите выкупить себе в одни руки то цена будет в разы выше
[17:02:30] boyarin_polkan: это понятно
[17:03:13] boyarin_polkan: а билд под одну конкретную CVE?
[17:04:39] boyarin_polkan: я просто первый раз разговарию с кем-то кто такой ЛПЕ сервис предлагает. Только дизайблеры покупал с поддержкой. там понятно. здесь в суть не въеду
[17:05:28] DIFFER: Ну мы вроде с вами обсуждали за 50к продажу одного из свежих последних CVE-2024-30088 в powershell с loadpe с обходом amsi и etw.
[17:05:49] boyarin_polkan: там мы еще ничего не обсуждали
[17:06:09] boyarin_polkan: или я пива слишком много в тот вечер выпил
[17:06:13] boyarin_polkan: но не думаю
[17:06:32] DIFFER: хахах пиво - это хорошо, я сча тоже пь светлое нефильтрованное ))
[17:07:23] boyarin_polkan: я ппз как подсел на пиво в последнее время. оно как оливки.. с возрастом начинаешь уже весь спектр вкуса ценить
[17:08:12] boyarin_polkan: так подожди. давай по CVE разберемся. тема важная
[17:09:18] boyarin_polkan: правильно ли я понял процес работы:

Вы продаете один эксплойт (в этом случае CVE-2024-30088) за Х сумму и если что-то глючит, то вы его фиксите. Так?
[17:10:35] boyarin_polkan: в сколько рук продаете без исходника?
[17:12:08] DIFFER: так пиво же полезно))
[17:12:39] DIFFER: > Вы продаете один эксплойт (в этом случае CVE-2024-30088) за Х сумму и если что-то глючит, то вы его фиксите. Так?
Да, верно
[17:12:46] boyarin_polkan: https://xss.pro/threads/122387/ - а что это?
[17:13:28] DIFFER: это реселлер
[17:13:53] DIFFER: он был в команде тем кому мы продавали и теперь пытаетяс барыжить разработкой нашей
[17:14:09] DIFFER: но у нас есть защита кода, поэтому теперь он никому не сможет перепродать
[17:14:31] DIFFER: ты можешь протестировать и купить у него чтобы понять что он барыга
[17:15:12] boyarin_polkan: что-то здесь попахивает странностями
[17:15:23] DIFFER: и как видишь другие продукты наши он не сможет забарыжить
[17:15:36] DIFFER: ну ты же знаешь реверсеров?
[17:15:46] DIFFER: допустим ты купил у нас, среверсил билд и перепродаешь
[17:15:49] DIFFER: как пример
[17:16:11] boyarin_polkan: с кем еще работали
[17:18:09] DIFFER: работали с локбитом, еще наш клиент был Br0k3r - https://xss.pro/threads/90795/page-2#post-722744
[17:18:44] boyarin_polkan: я у многих покупал. все через гаранта. смогут подтвердить как на дамаге, так и на экспе. на хорошие продукты денег не жалко
[17:19:50] boyarin_polkan: но мне не нравится что ты молчал долго, мы ничего не обсуждали и тут слово в слово ты мне предлагаешь ЛПЕ которое запостил другой селлер
[17:19:53] DIFFER: я вижу по общению, что ты не крыса как некоторые с форумов... поэтому и пишу тебе)
[17:20:49] DIFFER: он взял часть описания нашего Readme.md и запостил тупо на форуме, но у него не выйдет продать, мы его билд сразу же выложили на virustotal
[17:21:05] DIFFER: мы в теме уже давно и знаем как бороться с такими реверсерами
[17:21:28] DIFFER: ну представь ты продаешь программу, у тебя покупают а потом кодер в твоей команде решил заработать, среверсил и барыжит везде и всем
[17:21:45] DIFFER: мы уже это проходили раньше, такие ситуации были не раз, если ты в теме давно должен знать
[17:22:59] boyarin_polkan: сбрось readme.md сслыку?
[17:23:43] boyarin_polkan: > сли ты в теме давно должен знать
знаю. по этому еще и общаюсь. но также знаю что впаривают гавно часто
[17:25:36] DIFFER: мин
[17:26:44] boyarin_polkan: давай так. я не хочу терять эксплойт если он работающий. но и не хочу деньги на ветер тратить если говно. давай щас пообщаемся как будто этого барыги и нет, но если я решусь на покупку - ты мне даешь 3 дня на тест эксплойта
[17:29:50] DIFFER: Наш продукт написан с 0 и является собранной CVE-2024-30088 в powershell с loadpe с обходом amsi и etw. Выход файла в .ps1 - можете загрузить на pastebin и одной командой скачивать.
Патчит AMSI и запускает LPE-exploit в памяти. Повышает привелегии с любых прав до SYSTEM на системах Windows 10, 11, 2016, 2019.
Ошибка находится внутри функции AuthzBasepCopyoutInternalSecurityAttributes, когда ядро копирует _AUTHZBASEP_SECURITY_ATTRIBUTES_INFORMATION текущего объекта токена в пользовательский режим, который имеет следующую структуру:

//0x30 байт (sizeof)
struct _AUTHZBASEP_SECURITY_ATTRIBUTES_INFORMATION
{
ULONG SecurityAttributeCount; //0x0
struct _LIST_ENTRY SecurityAttributesList; //0x8
ULONG WorkingSecurityAttributeCount; //0x18
struct _LIST_ENTRY WorkingSecurityAttributesList; //0x20
};

При выполнении копирования SecurityAttributesList ядро устанавливает список структуры SecurityAttribute *непосредственно* на предоставленный пользователем указатель
[17:29:50] DIFFER: . После этого он вызывает функции RtlCopyUnicodeString и AuthzBasepCopyoutInternalSecurityAttributeValues для копирования имени и значения структуры SecurityAttribute, что приводит к множественным TOCTOU в этой функции.
С помощью простого потока для изменения указателя буфера имени атрибута перед вызовом RtlCopyUnicodeString [*] я могу легко архивировать произвольную запись адреса с фиксированным значением и контролируемым размером.
Обратите внимание, что есть и другие способы ее эксплуатации, но в моем случае я (Differ - главный тимлидер команды разработчиков) решил использовать RtlCopyUnicodeString.
Ошибка триггера:
Эту ошибку можно легко вызвать, вызвав NtQueryInformationToken с классом TokenAccesInformation.

Наша приватная модификация:
Модификация использует локальную переменную в стеке ядра (v18 в блоке кода ниже) в к
[17:29:50] DIFFER: ачестве буфера для копирования имени(й) атрибута безопасности перед обратной записью в пользовательский буфер, если системный вызов из пользовательского режима.
[...]
p_SecurityAttributesList = &a1->SecurityAttributesList;
Flink = a1->SecurityAttributesList.Flink;
if (Flink == p_SecurityAttributesList)
return (unsigned int)inserted;
v13 = a2 + 0x98;
while (1)
{
if ((unsigned int)Feature_2516935995__private_IsEnabledDeviceUsage())
{
insert = AuthzBasepProbeAndInsertTailList(a2 + 8, v13 - 0x68);
if (insert < 0)
goto LABEL_24;
}
else
{
[...]
}
++*(_DWORD *)a2;
*(_WORD *)(v13 - 56) = Flink[3].Flink;
*(_DWORD *)(v13 - 52) = HIDWORD(Flink[3].Flink);
*(_QWORD *)(v13 - 24) = v13 - 32;
*(_QWORD *)(v13 - 32) = v13 - 32;
*(_QWORD *)v13 = v13 - 8;
*(_QWORD *)(v13 - 8) = v13 - 8;
*(_QWORD *)(v13 - 48) = 0i64;
*(_DWORD *)(v13 - 40) = 0;
*(_DWORD *)(v13 - 16) = 0;
Flink_low = LOWORD(Flink[2].Flink);
v19 = Flink_low;
v17 = (wchar_t *)((v10 + 1) & 0xFFFFFFFFFFFFFFFEui64);
v15 = (беззнаковое __int64)v17 + Flink_low;
if ( (беззнаковое __int64)v17 + Flink_low > v6 )
break;
if ( (беззнаковое int)Feature_3391791421__private_IsEnabledDeviceUsage() )
{
*(_QWORD *)&v18.Length = 0i64;
v18.MaximumLe
[17:29:51] DIFFER: ngth = Flink_low;
v18.Buffer = v17;
RtlCopyUnicodeString(&v18.Length, (unsigned __int16 *)&Flink[2]);
*(_UNICODE_STRING *)(v13 - 0x48) = v18;
}
else
{
[...]
}
вставлено = AuthzBasepCopyoutInternalSecurityAttributeValues(
(__int64)Flink,
v13 - 104,
v15,
(int)v6 - (int)v15,
&v19);
[...]

В сеансе отладки мы видим, что rcx — это адрес ядра после патча:
5: kd>
nt!AuthzBasepCopyoutInternalSecurityAttributes+0x1aa:
fffff803`5dbcf14a e8810fa5ff call nt!RtlCopyUnicodeString (ffffff803`5d6200d0)
5: kd> r
rax=0000025a81d006a0 rbx=0000025a81d00590 rcx=ffffe20697c4f778
rdx=ffffa609c7a101a0 rsi=0000025a81d00598 rdi=0000025a81d00628
rip=fffff8035dbcf14a rsp=ffffe20697c4f740 rbp=0000025a81d006c0
r8=0000000000000003 r9=0000025a81d00590 r10=ffffa609c816ef78
r11=ffffe20697c4f7d0 r12=0000000000000a70 r13=ffffa609ca9b1118
r14=ffffa609c7a10180 r15=0000025a81d01000
iopl=0 nv up ei pl nz na pe nc
cs=0010 ss=0018 ds=002b es=002b fs=0053 gs=002b efl=00040202
nt!AuthzBasepCopyoutInternalSecurityAttributes+0x1aa:
ffffff803`5dbcf14a e8810fa5ff call nt!RtlCopyUnicodeString (ffffff803`5d6200d0)
[17:30:35] DIFFER: этот клоун просто скопировал начальную часть описания и решил забарыжить
[17:33:07] DIFFER: такое уже не раз было в теме мы давно уже
[17:40:36] boyarin_polkan: Можешь публично описать сложившуюся ситуацию под постом WhiteDragon?
[17:50:05] DIFFER: Я не хочу писать блеки, так как мы проводили сделку не с ним, ты можешь ему отписать и попросить пруф кода что я написал выше, он тебе не сможет пруфануть
[17:50:40] DIFFER: хсс читает куча ресерчеров, АВ компаний итп мы же работаем в привате и не создаем темы
[17:50:48] DIFFER: о наших приват продуктах
[17:55:57] boyarin_polkan: странно это все
[17:56:12] boyarin_polkan: не нравится мне

 

[WhiteDragon]

Интересная ситуация сложилась. Пару недель назад FRG создал тему о поиске ЛПЕ. JunndeBoom отписался и сказал, что у него есть вариант за 50К. Я написал JunndeBoom в ПМ и сказал, что готов рассмотреть вариант в 50К (скрин переписки добавил). Он добавил меня в Токс. Потом пропал так и ничего не рассказав о своем продукте за 50К. Ну, да и ладно. Я оставил его.

Сегодня я смотрю пост WhiteDragon о CVE-2024-30088. И вот как раз появляется JunndeBoom с предложением эксплойта за 50К. Как думаете, какая CVE? Да, да... она же. CVE-2024-30088. Переписку добавляю.

Помогите разобраться. Совесть не позволяет пальцем тыкать кто барыга без общественного мнения. А вдруг ошибаюсь.

Пиздец, продавать этот сплойт за 50к бачей это еще надо смелости набраться, когда по первому запросу висит в гугле что это такое. И да, народ, ведутся на такие вещи. Я дорожу своей репутацией и тут мои друзья как Рел, Хант и Квака не поймут если я такое начну банчить за 50к. В свою очередь я собрал, сделал loadpe этого exe на повершелл, все это накрыл приватным обфускатором, который сгенерил мне 33к строк. Я не прошу больших денег, весь труд=адеквтная цена при этом, что я из 8 сеток поднял 5 на этом сплойте и соседи мне никаким образом не помешают, а лишний кэш на вечер лишь приятный бонус.

p.s. я могу сделать целую связку с запуском вашей полезной нагрузки, написать сокс или реверсшелл, взяться за поддержку, собрать другие софты и это все в пределах адекватного будет стоить.

 

[WhiteDragon]

можете загрузить на пастбин и одной командой скачивать.

Я изначально продавал крипт повершела, который скачивается с гейта и крипт идет на лету. Это пост давно стоит и работает.

А в свою очередь обфускатор делит код на мат выражения, патчит амси рефлективно, обуфцируя даже такое '[Ref].Assembly', после я проверяю был ли патч амси и на основе возвращаемых данных с солью я делаю декрипт полезной нагрузки. Это означает, что без патча амси код не запустится. После обходим etw, патчим amsi.dll в памяти и только запускаем софт в памяти. Пока что я продал свой продукт одному человеку, пару копий и тема закрыта.

 

[Str1k3r]

Still relevant?

 

[WhiteDragon]

Still relevant?

yes

 

[Str1k3r]

Sent PM

 

[WhiteDragon]

i sent my tox

 

[boroda4]

Sent tox

 

[WhiteDragon]

Ап. Продам пару копий и тему закрываю.

 

[WhiteDragon]

Последняя копия и закрыто!

 

[FRG]

Интересная ситуация сложилась. Пару недель назад FRG создал тему о поиске ЛПЕ. JunndeBoom отписался и сказал, что у него есть вариант за 50К. Я написал JunndeBoom в ПМ и сказал, что готов рассмотреть вариант в 50К (скрин переписки добавил). Он добавил меня в Токс. Потом пропал так и ничего не рассказав о своем продукте за 50К. Ну, да и ладно. Я оставил его.

Сегодня я смотрю пост WhiteDragon о CVE-2024-30088. И вот как раз появляется JunndeBoom с предложением эксплойта за 50К. Как думаете, какая CVE? Да, да... она же. CVE-2024-30088. Переписку добавляю.

Помогите разобраться. Совесть не позволяет пальцем тыкать кто барыга без общественного мнения. А вдруг ошибаюсь.


Посмотреть вложение 94566

Скрытое содержимое

Не совсем понял, почему тут мой ник фигурирует. Я в чем то подозреваюсь ?

 

[boyarin_polkan]

Не совсем понял, почему тут мой ник фигурирует. Я в чем то подозреваюсь ?

нет, наоборот) вычислил кидалу

 

[boyarin_polkan]

Отзыв: купил этот продукт. работает хорошо. приятный и толковый разработчик