• XSS.stack #1 – первый литературный журнал от юзеров форума

Статья Вся правда о шифровании ifrаme кода

Отслеживать
По поводу json. А как вам такая обфускация?! ( alert('xss.pro/'); )
Код: 
$$=-~-~[],$=-~$$,$$$$$$$$=$$<<$$,$$$$=$$$$$$$$+~[];$$$$$$$$$$$$$$$$=($-$)[$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$=(''+{})[$$+$]+(''+{})[$-$$]+([].$+'')[$-$$]+(!!''+'')[$]+({}+'')[$+$]+(!''+'')[$-$$]+(!''+'')[$$]+(''+{})[$$+$]+({}+'')[$+$]+(''+{})[$-$$]+(!''+'')[$-$$]][$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$];$$$$$$$$$$$$$$$$($$$$$$$$$$$$$$$$((!''+'')[$-$$]+(!''+'')[$]+(!''+'')[$-$]+(!''+'')[$$]+((!''+''))[$-$$]+([].$+'')[$-$$]+'\''+''+'\\'+($-$$)+($$+$$)+($-$$)+'\\'+($-$$)+($$+$)+($$+$$)+'\\'+($-$$)+($$+$$)+($$+$)+'\\'+($-$$)+($+$)+($$)+'\\'+($-$$)+($+$)+($$+$$)+'\\'+($$+$)+($-$)+'\\'+($$+$$)+($$$$)+'\\'+($-$$)+($$+$$)+($$+$$)+'\\'+($-$$)+($$+$$)+($-$$)+'\\'+($-$$)+($$+$)+($$+$)+'\\'+($-$$)+($$+$$)+($-$$)+'\\'+($-$$)+($$+$$)+($$$$)+'\\'+($-$$)+($$+$$)+($$+$)+'\\'+($-$$)+($$+$)+($$+$$)+'\\'+($-$$)+($$+$$)+($-$$)+'\\'+($-$$)+($$+$$)+($$)+'\\'+($$+$)+($+$)+'\\'+($-$$)+($$+$)+($$$$)+'\\'+($-$$)+($+$)+($$)+'\\'+($-$$)+($$+$$)+($$$$)+'\\'+($$+$$)+($$$$)+'\\'+($$+$)+($-$$)+'\\'+($$$$)+($)+'\'')())()
Неплохо, не так ли?! Но есть одно но -не работает в IE=/
 
TrueUser
Бесспорно, с таким решением далеко можно пойти, но это уже ближе к теме самих связок.
Есть, конечно, и пара минусов: во - первых, когда человек вложился в криптор фреймов - это 100-150$, если завтра ему предложат новую технологию, пережить потерю в полторы сотни он сможет, со связками, стоимость которых 1300-2000$ будет сложнее.
Во - вторых, чистки и обновления - здесь я не знаю, если концепция микро-связки включает в себя 100% исполнение на js, то обновление снова встает проблемой. Если же поддерживается реализация с использованием того же PHP - то мы получаем уже хоть какую - то автоматизацию.

GOONER, знаем такое, аналоги с использованием utf8 вообще чудный результат дают, но код ведь все равно остается на стороне клиента.
 
Во - вторых, чистки и обновления - здесь я не знаю, если концепция микро-связки включает в себя 100% исполнение на js, то обновление снова встает проблемой.
ь
Ну.. вообще говоря планируется билдер микровязок :) С его помощью можно и в шелл затолкать урл любой и перекриптовать, например подключив новый стаб (как покупаемое обновление).
 
вообще говоря планируется билдер микровязок
Планируется? Интересно кем?

p.s. ушли в оффтоп.
Ваши мысли и доводы? Что другое советуете в качестве альтернатив iframe?
Apache+mod_rewrite плюсы и минусы?
Народ! Обширнее. Не кузькину мать обсуждаем. Если дорожите идеями - добро пожаловать в хайды или приват. Но давайте активнее развивать мысли.

Я хочу от вас добиться созидания а не меряния х*ми!
В конце концов я скоро свалю на полтора месяца. Порадуйте вашего админа!
 
TrueUser
Это то понятно, я имел в виду обновление уже установленного на чужом ресурсе кода.

p.s. ушли в оффтоп.
Ваши мысли и доводы? Что другое советуете в качестве альтернатив iframe?
Не сказал бы, что в такой уж оффтоп. Альтернативой текущему методу фрейминга может быть как новый метод, так и его отсутствие, если сторонний софт, в нашем случае связка, берет на себя его долю.
 
Потомственный ботнетчик заинтересовался идеей микросвязок :)

Планируется? Интересно кем?
Это ты у каталины спрашивай, ему ведь делать :), ты сам знаешь мне тупо некогда.

Catalina
Если возьмешься, то более подробно можно почитать либо этот мой топик либо стучи ко мне, растолкую идею :)

Добавлено в [time]1290253194[/time]
А что касается обновления кода - я же сказал что Zer0 не дремлет, если станет актуально, то инжектор микросвязок по фтп он реализует как два пальца :)
 
Если возьмешься
Взяться то проблем не вижу, но какова цель: сделать полезную модель-движок для всех или же сделать полноценный билдер с эксплоитами на борту, но тут уже жалко отдавать софт всем подряд.

А что касается обновления кода - я же сказал что Zer0 не дремлет, если станет актуально, то инжектор микросвязок по фтп он реализует как два пальца
Меня интересует в данном случае не модификация фреймера, а некоторая автономия. Например, если в качестве микросвязки будет выступать не простой JS файл, а что - нибудь "посерьезнее", чтобы реализовать автоматическую проверку актуальности билда и автообновление. То есть, чтобы не нам приходилось каждые N дней обновлять все расставленные билды, а они сами себя обновляли по принципу систем кэширования.
 
То есть, чтобы не нам приходилось каждые N дней обновлять все расставленные билды, а они сами себя обновляли по принципу систем кэширования.
И палить домен :) опять двадцать пять :)

Короче что касается работы - можно сделать как бы движок билдера, натолкать туда кое какие сплойты, чтобы реально все работало! Все это добро вываливается к нам в приват, народ пробует модифицирует, все что будет потом сделано в лучшую сторону остается на совести каждого, можно будет использовать в своих целях, но идея создания и бренд микросвязок будет оставлен за xss.pro/.
 
Всуну и свои пять копеек.
Готов поделиться своей наработкой размером в 8кб(включает в себя java, pdf, ie6/7/8 и один фф сплоит), в некотором роде микросвязка - правда шк на вашей совести))
Эта малютка написана на пыхе, js только в эксплоитах - детка не контролируемая(выдаёт в лоб, в зависимости от агента), админка и прочие приблуды имеются.
Под хайдом выкладывать побаиваюсь(были случаи люди при мне флудили, чтобы увидеть текст в теме).
Хотелось бы услышать полезные советы, мб обменяться инфой!
 
GOONER
Согласен, на js было бы удобнее - но с нынешним развитием эмуляторов, как только скрипт попадёт кое-куда - тут же расшифруют и вся работа сойдёт на нет(но это в редких случаях, когда не меняешь домен, имя скрипта и др. параметры).
Тяжелее всего продумать алго выдачи из js юзеру так, чтобы было непалевно(запутанный, полиморф код) + по возможности максимальная скрытность и шифровка файлов.

Понятное дело - многие подумают мол делиться никто не будет, а что кроме сплоитов и шк есть такого ценного в паке ?
Во-первых напишем нормальную выдачу, во-вторых перейдём к шк(это тоже важный момент), в-третьих продумаем максимально оптимизированную связку.
Не хотелось бы конечно, чтобы связка пошла по рукам, было бы замечательно если покритиковали или дали советов.
Я js понимаю чуть хуже чем php, но всё же в процессе разработки хотелось услышать дельные советы, взамен - обещаю также всячески помогать в разработке, авось получится что-то сделать вместе.
Вообщем если найдутся единомышленники - присоединяйтесь.

Ar3s
Могу в жабу скинуть. Доступа в приват нет.
 
Единомышленников давным давно дохрена :).
Что касается пыха и его использования в микросвязки - мое мнение надо писать все на js при этом использовать хороший обфуксатор. Гугл у нас очень плохо поддается анализу по этой причине. Набор сплойтов кстати тоже может палить домен внутри себя. Статистику можно вести по отстуку лодыря (карабас, вот тут и пригодиться твой волшебный шелл!). Вцелом микросвязку имеет смысл маскировать (размазывать по стандартному коду) упакованного дрыга аякса или тому подобного (ака prototype) и патчить файлы на сервере стоящие. ТО есть стоит только снести их и пизда сайту :), спалить их там очень не просто и не надо делать дополнительного внедрения js на страницу.
2 каталина - чтоб почитать что тут пишу можешь мне стучать, все необходимое поведаю, или Ar3s тебе все расскажет если реально ты заинтересован и выложишь какие нетто решения.
 
TrueUser
Согласен, тут конечно сразу идёт полёт фантазии...
Допустим обычный форум с посещаемостью(по большей части движок напутан js кодом).
Внутри код полностью пермутирован(т.е разбит на кучу блоков и они связаны между собой лишь инклудами), все блоки пошифрованы под основной код, чтобы не спалиться.
Также всевозможный детект от анализа, можно ещё и процедуру домен чека и ав сканнинга придумать, которая каждые 5 минут в случае чего ненужный код с форума тяпнет :)
Но это только пока мечты - мб через месяцок реализуем))
 
Ar3s пишет:
Это как бы не по теме
Ну, я не XSS же естественно имел ввиду, а скрытие тегов данным методом(назовем это "криптом"), а в сабже утверждалось что крипт итд. – это ху[пии..]
Короче на двух 0-дЭй эксплоитах висели парочка вариантов JSON, я подумал, что есть два варианта:
Либо тема паленная, поэтому так мало юзают
Либо аверам задетектить такие вещи проблематично, поэтому их так мало
Вот и спрашивал, ну естественно спрашивал у тех, кто разбирал исходники IE FF их движков JS, короче интересовало, стоит ли тема детального изучения и потраченного на нее времени, так-то сам естественно все сделаю, просто постоянно в долгий ящег откладываю..
Ar3s пишет:
Предлагаю отдельный топ создать
Отдельную тему палить я не хочу, так как там могут быть превад-методы, а я с JSON "слабенько" пока..

P. S.
Мне по статусу не положено такое писать, но все же решил запостить может как-то поможет что-то пон..
теорию с микросвязкой считаю вообще распальцовкой :) - ИМХО
Всего вижу пару плюсов в размещении на хакнутом сайтеке
1. большой шанс, что будет включен JS у потенциальной жертвы
2. запросы идут только с пробитых машин.

А вот из минусов
WennY пишет:
Идея, на мой взгляд, весьма убыточная с точки зрения сохраниения фтп/шелов и etc. Когда стоит фрейм на какой-либо вредоносный линк, то, собственно, его и банят т.к. вокруг не идиоты и все понамают, что ни один здоровый человек не будет ставить фреймы на свой белый проект, но если у авов не будет других нитей, то в конечном счете хост и забанят. Мб хост и проживет подольше обычного, но в итоге одна абуза (а она рано или поздно будет) и бб ваш траф.
Да еще +
Catalina пишет:
Если полистать различные форумы, очень часто можно встретить темы вида: "Нашел у себя в странице странный код, кто знает что это?", а добрые люди ему разумеется помогут снести
Как только заабузят, хостер сразу залочит сайтег и "админу" мессагу напишет, что типа: вы "нарушили правила", пункт такой-то..
И потребуют устранить проблему
Тот может также свой линк отправить в "приват песочницу", а там ему и покажут сайтег с раздачей, ну а далее LFI, RFI итд.
После того как он вроде как найдет микросвязку, "удалит" и отпишется, хостер еще может пробздецца дополнительно лицензионным AV, что естественно может в свою очередь спалить и других..
В данном случае потери могут быть очень велики, если хак хорошего ресурса был длительным
Конечно можно нахекать к примеру сайтеков у СЕОшников, они в плане защиты совсем деревянные(ИМХО) вплоть до того что на форумах/блогах сами постят уязвимости к своим ресурсам(в вопросах) задавая вопросы, есть даже что толпой это делают челов 5-10, вообщем с одного заброса в гугле можно 1-10 сайтиков поиметь, главное нужный запрос сделать..
Но это так(тема для начинающих угонщиков ботнетов), если вообще нет денег, естественно это все не сравнится с одним абузоустой..
Да и вообще что это за понятие микро, допустим в связке 10-20 сплойтов, то в микро 5 что ли – тем самым мы уменьшаем пробив(а смысл связки и есть в том чтобы был хороший пробив) да и вообще что значит "кое какие"
TrueUser пишет:
натолкать туда кое какие сплойты
Там в топе древняя связка в пример приводилась, а чтобы хороший пробив был, нужно хотя бы самому моды делать и это только минимум
Да и вообще тут нужно иметь четкое представление как тестятся релизы и делаются моды(из не рабочего сплойта – рабочий, для примера)
Но этот процесс не такой частый как допустим крипт, а крипт либо самому тему юзать, либо чела со стороны "брать"(имеется ввиду если профессионально подход иметь)
Да и угонщики ботнетов тему быстро просекут, кто защиту будет от угона создавать, ведь если мы имеем доступ к хакнутому сайтику, то они естественно тоже будут иметь, а сорцы сольют пострадавшие в паблик на аверских форумах.. (и тут без вариантов)
Писал утрировано, да и помнимому и это только пара процентов из ста проблем..
ЗЫ: ИМХО
 
KraZz
Что ты понимаешь под термином
распальцовкой
?

Что касается плюсов и минусов - так это можно до бесконечности сидеть и "генерировать" всякие разные плюсы и минусы стационарных связок и микро (а если добавить немного паранои то только этим и заниматься). Я предложил принципиально новый вариант, я не говорил что смогу его реализовать сам, я изначально сказал, что толком НЕ разбираюсь в сплойтах, отсюда и слова типа "каких нибудь сплойтов".

Опять же по терминологии :). Понятие микросвязка образовано исходя из ее размера и урезанного функционала по статистике\требуемым ресурсам, а не исходя из набора сплойтов на борту.
 
TrueUser пишет:
Что ты понимаешь под термином
Это когда тема красиво паецца, а реально НЕ юзабельна – ИМХО
Да это, по сути, и был ответ на твой "вопрос"
TrueUser пишет:
Вообще говоря идея микросвязок решает это вопрос раз и на всегда, только или никто так и не может поднять свой зад и реализовать или же давно реализовал и молчит в тряпочку
Только ты не пытаешься понять, о чем тебе пишут, а тупо уперто стоишь на своем
И это не плюсы и минусы, и даже не паранойя, а тупо реальность
Чтобы далеко телегу не катить - вот актуальная тема, косвенно подтверждающая мною написанный пост выше(о сливе в паблик, да вообще в целом даже)
http://xss.pro/index.php?topic=20598 - Одалели спам сообщения

P. S.
вот есть у нас три ресурса с "root" (чич-то гипотетически реально боевые условия)
суммарно 5к посещений в сутки, на одном WP, на другом django, а на третьем DLE
исходя из этого
Catalina пишет:
никто не мешает вам сделать все более красиво.
[...]
Размещаем данный файл в любой директории, которая находится выше либо равна директории js. Сам файл jquery-1.4.min.js модифицируем следующим образом
И
TrueUser пишет:
Понятие микросвязка образовано исходя из ее размера и урезанного функционала по статистике\требуемым ресурсам
Как инсталлить мукросвязку, не слишком ли много нюансов к "требуемым ресурсам"
Вернее даже так, а не напряжено ли будет инсталлить такую микросвязку(ну или мазу из сабжа) на сотню ломаных ресурсов с разными движками, нюансами итд.
Вопрос чич-то риторический..
 
а не напряжено ли будет инсталлить такую микросвязку(ну или мазу из сабжа) на сотню ломаных ресурсов с разными движками,
Не сложно, вот к примеру спроси Zer0, его фреймер перед установкой собственно фрейма анализирует движок на котором данный сайт сделан и уже исходя из этого его фреймит в наиболее трудновылавливаемые места. Здесь то же самое.
Что касается топика про спам, то больше всего там ответов моих (как ты успел наверное заметить) и я отдаю себе отчет в том что пишу в разных темах. Про слив в паблик я опять же говорил - что это нормальное явление, хорошо обфуксированный код, урл для лаунлода внутри шелла запрятанный и не появляющийся в чистом виде, автоматический апдейт по крону перекриптованных микросвязок скриптом через фтп, максимальная интеграция с системными файлами. Все это позволяет в той или иной степени решить те вопросы что ты поднял тут. Вот так вот заявлять категорично своим большим ИМХОм, что ребята, вас наебали, это работать не будет, наверное не стоит. Надо попробовать, оценить результаты и сделать уже потом выводы о целесообразности вообще такого подхода.

З.Ы.
Собственно говоря почему все это было затеяно - да потому что когда мои хорошие знакомые намаялись менять хосты и домены как перчатки с долбанной СВЕЖЕЙ не палящейся (как бы) связкой, антиобузники только тупо разводили руками (или возможно хихикали), бабла уходило столько же на это сколько давала схема, вот тогда, собственно, и возникла потребность в создании скриптов, которые могли избавить человека от лишних затрат на домены, сервера и прочее, чтобы они вообще обезличили этот биз, и в таких условиях "слив" в паблик становится неприятным инцидентом, а не трагедией. Зато мы имеем сеть приносящую инсталлы в готовом виде не прилагая никаких затрат на ее содержание (разве что на расширение и компенсацию потерь). Покупай себе фтпшки и добавляй в скрипт, который можно опять же запустить на ломаном ресурсе (на другом таком ресурсе можно файло положить) вот и все :)
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх