извинись пожалуйста за "говно и палки" очень тебя прошу, а то я плачу
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Статья XssBot - Модульный резидентный бот с супер-админкой.Часть первая
- Автор темы X-Shar
- Дата начала
- Автор темы
- Добавить закладку
- #22
И получите интерапт, как уже сказал-да, код не идеален.
Но цель была показать концепт, затратив минимум усилий, это не продакшен код, но тем не менее все работает, я оттестировал...)
Про x64, да я добавлю в следующих версиях.)))
Только тогда нужно и модули делать для x64.
- Автор темы
- Добавить закладку
- #23
В гит, если есть что без проблем.
Можете сделать форк, потом ветки сольем.)))
okey i do it!
не соглашусь
из-под др. веба с динчека, пожалуйста, если не затруднит. уверен будет детектить, даже если таким способом заинжектить обычный nop и передать на него управление. даже если инжектить из контекста доверенного процесса. даже если инжектить в калькулятор.
- Автор темы
- Добавить закладку
- #26
Позже сделаю проект ранпе, который инжектит мессаджбокс и запущу из динчека, результаты выложу.)
Желательно инжект в 64-битный процесс.
По поводу природы появления крэша - я не знаю, но это давно было замечено. Это на экспе уже обсуждалось даже. Поресерчу на досуге.не соглашусь
из-под др. веба с динчека, пожалуйста, если не затруднит. уверен будет детектить, даже если таким способом заинжектить обычный nop и передать на него управление. даже если инжектить из контекста доверенного процесса. даже если инжектить в калькулятор.
Thanks for the article, there is something you need tot note:
In the installation function, it's too bad to use a dangerous function like system () which will trigger AV instantly when calling it, also you need to change the installation routine since it's not good to use CMD command to copy the PE to AppData, for executing cmd command you can use CreateProcess or lower level api NtCreateProcess
C++:
sprintf (str_to_system, "copy% s \" C: \\ Users \\% s \\ AppData \\ Roaming \\ Microsoft \\ Windows \\ Start Menu \\ Programs \\ Startup \ "", path_bot, username);
system (str_to_system)In the installation function, it's too bad to use a dangerous function like system () which will trigger AV instantly when calling it, also you need to change the installation routine since it's not good to use CMD command to copy the PE to AppData, for executing cmd command you can use CreateProcess or lower level api NtCreateProcess
- Автор темы
- Добавить закладку
- #30
Как и обещал, тест RunPe мессаджбокса:https://anonfiles.com/VeJ8m166o9/RunPeTest_zip
Пароль:111
Там инжект в калькулятор и в свой процесс.
Результаты на динчеке:
Calc:
Self:
Да, много детектят, но тут повторюсь, была просто демонстрация концепта (К тому-же 14 антивирусов и не детектят вовсе).
Уберем ранпе и добавим что-то другое.
Вообще благодарю за критику, учтем в новых версиях.)))
Пароль:111
Там инжект в калькулятор и в свой процесс.
Результаты на динчеке:
Calc:
Self:
Да, много детектят, но тут повторюсь, была просто демонстрация концепта (К тому-же 14 антивирусов и не детектят вовсе).
Уберем ранпе и добавим что-то другое.
Вообще благодарю за критику, учтем в новых версиях.)))
да ля, от тебя один негатив идёт к каким статьям комменты не начинаю читать, люди старались - писали. В любом случае это не копипаст же, пусть даже это не то что хотят увидеть старожилы и профессионалы этого форума, но для новичков есть чего почерпнуть.
Нихрена не понял,но пацанов поддерживаю,как минимум за старания
- Автор темы
- Добавить закладку
- #33
Ребят, специально потратил немного времени и запустил данное решение на компах из под Eset Smart Security и Windows Defender и никакого детекта не было, как тут говорили срабатывание эвристики и прочее-прочее...
Поэтому даже с учетом моего говнокода и возможно непродуманного до конца решения, проект вполне-себе боевой, и на этом проекте вполне можно как учиться, так и взять что-то для себя.
А кто считает иначе, на васме прочитал вырезку из старых статей от ТрешГена:
Короче я думаю также...
Поэтому даже с учетом моего говнокода и возможно непродуманного до конца решения, проект вполне-себе боевой, и на этом проекте вполне можно как учиться, так и взять что-то для себя.
А кто считает иначе, на васме прочитал вырезку из старых статей от ТрешГена:
Короче я думаю также...
в военном училище была поговорка "пять минут позора и ты лейтенант" про сдачу диплома, это мне напомнило такую же ситуацию, когда ты на гит выкладываешь код, который работает, но все находят в нем утечки памяти, которых там нет... и начинается разбор полетов в перемешку с домыслами и кривляниями. слабый человек сдается, сильный докодит до концаРебят, специально потратил немного времени и запустил данное решение на компах из под Eset Smart Security и Windows Defender и никакого детекта не было, как тут говорили срабатывание эвристики и прочее-прочее...
Поэтому даже с учетом моего говнокода и возможно непродуманного до конца решения, проект вполне-себе боевой, и на этом проекте вполне можно как учиться, так и взять что-то для себя.
А кто считает иначе, на васме прочитал вырезку из старых статей от ТрешГена:
Короче я думаю также...
если вспомнить кто и что говорил, речь шла за др. веб (который, с твоих слов, ничего не детектит) - на твоём же скане инжект в calc.exe детектится др. вебом. да и общее количество детектов подтверждает тезис, что это инжект светится как новогодняя ёлка. а что касается твоего обхода 14 ав путем крэша в access violation - ну да, это и правда 0day, причём твой авторский - нигде больше такой техники не встречал. думаю, если немного допилить код, сможешь таким же образом обойти остальные 9 аверов.
не продуманное до конца и работающее исключительно на компьютере автора решение - по-правде говоря, да, это главные атрибуты боевого софта.
в принципе тебе дали немало полезной информации о твоём боте и о том, что было сделано неправильно. информации, которой у тебя не было в виду отсутствия какой-либо практики в этом направлении. а также дали советы, чего не хватает в твоей статье и как её можно было бы улучшить. посылать за это людей нахуй, вместо того, чтобы сделать правильные выводы и поднять свой скилл, - не очень хорошая затея. продолжай наслаждаться пребыванием в окружении людей, чья любовь к твоему труду обусловлена исключительно их невежеством.
Вообще, судя по тому, что обсуждают, нам нужен новый тред. Тред про архитектурные вопросы, тот самый каркас, с чего начинается бот. Вопрос считаю очень важным к обсуждению, плюс раскрытие темы (то, чем каждый сможет поделиться и обсудить) не сливает какие то приватные техники, однако позволит поднять общий уровень познаний о построении модульного софта, а так же позволит создать ориентир качества, так, чтобы на ветку можно было ссылаться. Прийти к консенсусу, что есть тру в архитектуре, а что излишне или не правильно. У меня есть полно своих мыслей/убеждений на этот счёт, но я не исключаю, что могу сам думать о каких то аспектах не точно/не правильно и хотелось бы придать это обсуждению, которое позволит, как я сказал, задать ориентир и расти вместе.
- Автор темы
- Добавить закладку
- #37
Haunt, отличная идея.
Если вы имеете опыт/наработки построения таких систем, будет очень круто если создадите такую тему.
Да, судя по этой теме, все это очень востребовано.
Если без каких-то реализаций, то можете успеть даже на конкурс, хотя реализация и не нужна в целом...)))
Я обещал показать запуск RunPe, я его показал, зачем мне отлаживать тестовый никому не нужный проект ? Могу дать сорцы, если хотите поковырять...)
- Отсутствие юникода - Это я знал, из-за лени не сделал.
- То-что проект костыльный, я тоже знал, тут мы просто хотели показать концепт, не более того.
Про остальные вопросы, все очень спорно, добавлять асимметричное шифрование, не вижу никого смысла, также как и усложнять протокол.
x64, тоже на сколько он нужен вопрос.
Вот с Haunt, я соглашусь, если он создаст тему, скажет надо делать так и так, потому-что так...
А пока-что кто критиковал, в большинстве случаев так ничего и не сказал толкового.)
Если вы имеете опыт/наработки построения таких систем, будет очень круто если создадите такую тему.
Да, судя по этой теме, все это очень востребовано.
Если без каких-то реализаций, то можете успеть даже на конкурс, хотя реализация и не нужна в целом...)))
Я специально привел два запуска, там где краш на первом, на втором есть запуск, т.е. детекта нет.
Я обещал показать запуск RunPe, я его показал, зачем мне отлаживать тестовый никому не нужный проект ? Могу дать сорцы, если хотите поковырять...)
А что мне здесь дали ?
- Отсутствие юникода - Это я знал, из-за лени не сделал.
- То-что проект костыльный, я тоже знал, тут мы просто хотели показать концепт, не более того.
Про остальные вопросы, все очень спорно, добавлять асимметричное шифрование, не вижу никого смысла, также как и усложнять протокол.
x64, тоже на сколько он нужен вопрос.
Вот с Haunt, я соглашусь, если он создаст тему, скажет надо делать так и так, потому-что так...
А пока-что кто критиковал, в большинстве случаев так ничего и не сказал толкового.)
на втором запуске ты в свой же процесс инжектишься. причём инжект срабатывает не на всех вм. а чтобы вызвать детект или что-то сломать при развертывании образа в своём собственном процессе - это постараться нужно, прям очень хорошо постараться. речь шла о твоём первом скане с инжектом в calc (ну или можешь выбрать любой другой процесс). или ты хочешь сказать, что в боевом софте инжект нужен только в свой собственный процесс и больше никуда?
лично я не жду никаких тру илитных зиродеев, но давай хотя бы не будем под видом таковых и с пометкой "вот видите ничё не палится, идите нахуй как завещал трэшген" выкладывать скан, где на половине вм идёт детект, а на другой половине access violation.
ок
- Автор темы
- Добавить закладку
- #39
Что первый, что второй запуск, это стандартный RunPe, речь шла показать есть-ли детект, или нет.
Если вы считаете что детекта нет, из-за краша, вы можете глянуть скрин где краша нет. Могу специально для вас сделать еще запуски и где не было детекта, там и не будет и без краша.)
Нет там никаких "зиродеев", обычный ранпе, проект сделал за 15 минут, чисто показать.)
Хороший повод написать статью