• XSS.stack #1 – первый литературный журнал от юзеров форума

Формграббер

Отслеживать
Jeffs

Jeffs

(L1) cache
Забанен
Регистрация
28.12.2018
Сообщения
611
Реакции
358
Пожалуйста, обратите внимание, что пользователь заблокирован
ну, выглядит что просто стоит MiTM в кор модуле бота (что-то в духе https://mitmproxy.org/ из говна и палок) и понятное дело захуканные ф-и для валидации сертов, которые ты уже видел.
 
Ты ставишь перехваты, переадресовывая траффик на свой локальный прокси сервер, со своим сертификатом. В браузере ставишь перехваты на функции, отвечающие за проверку сертификатов и на соответственно сокеты. При установке своего сертификата есть нюанс с окном, которое будет требовать запуск от системы. Обходится перехватом соответствующей функции/функций, пореверси внутрянку.
 
За биток расскажу как делать формграб, web инжи без инжекта в процесс браузера/без сплайсинга функций, без митм прокси со своими сертами, без аддона и без той боли, что описана постом выше. По сложности - скилл чуть выше школьного. Ну это так, вдруг интересно)
 
Последнее редактирование:
Haunt сказал(а):
За биток расскажу как делать формграб, web инжи без инжекта в процесс браузера/без сплайсинга функций, без митм прокси со своими сертами, без аддона и без той боли, что описана постом выше. По сложности - скилл чуть выше школьного. Ну это так, вдруг интересно)
Скрытый контент для пользователей: Haunt.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Вот в этих ресерчах хорошо разобран принцип работы, мб кому пригодится:

New version of IcedID Trojan uses steganographic payloads -

We take a deep dive into the IcedID Trojan, describing the distribution, new payloads, and functionality of this advanced malware.
blog.malwarebytes.com
www.fortinet.com

A Deep Dive Into IcedID Malware: Part III - Analysis of Child Processes

In Part II of this blog series, we identified three child processes that were created by the IcedID malware. In Part III, we provide a deep analysis of those child processes. …
www.fortinet.com www.fortinet.com
www.group-ib.com

Blog Group-IB

The Official Blog from Group-IB
www.group-ib.com
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Посмотрите езин Inception-1, там как раз автор гуткита писал. Правда, там сугубо хттп, но мб пригодится.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Quake3 сказал(а):
Правда, там сугубо хттп, но мб пригодится.
Хттп передается же без крипта, а тут небольшой гемор в том, что генерить его, хукать установку серта и т.п.

На том же сплайсе PR_Write/PR_Read например фраерфокса (при инжекте в ff) - покажет пересылаемые данные в голом ввиде ток http.
Лучше выбрать эту реализацию, чем мучится с митм.


Оффтоп. кто-нибудь тестил то, что Jeffs тут предлагает? Думаю детектов не мало будет. Реализация менее геморойная, но все же не выход
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Apocalypse сказал(а):
С чего такие выводы?
Где-то недели 3-4 назад тестил. Инжектился в фраера, ставил хуки на PR_Write, PR_Read экспортируемые из nss3.dll.
Пересылаемые данные http (Не s) показал в полном объеме, включая get/post запросы с их параметрами.

Или ты имел ввиду и https?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Quake3 сказал(а):
Посмотрите езин Inception-1, там как раз автор гуткита писал. Правда, там сугубо хттп, но мб пригодится.
Первую часть журнала не смог найти, во второй так же есть статья по формграбберу.
Скачать:
У вас должно быть более 1 сообщений для просмотра скрытого контента.

Free file sharing without registration and size limits

Upload and share easily very large files with your friends. Registration is not required. Upload your files and send the retrieval link to your friends. This sharing service is FREE
www.fileconvoy.com
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Jeffs сказал(а):
во второй так же есть статья по формграбберу.
Да, я перепутал, это во втором номере было.

heybabyone сказал(а):
Или ты имел ввиду и https?
чистый хттп мало кому интересен, сейчас любой говносайт имеет хттпс, особенно те, которые нужно грабить.
Еще надо учесть , что сейчас хттп2 (и экспериментально внедряют хттп3), можно это все отключать конечно , но это не выход.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Haunt сказал(а):
Все делается просто и легко без системных приколов типо сплайсинга, горе от ума у сиспрогеров.
Знать бы ещё как это делается :)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Jeffs сказал(а):
Знать бы ещё как это делается :)
Да же тот самый extension прокатывает. (недавно была статья). Сделай грамотно и вот тебе формграб, веб инжекты-х#йжекты без боли. Весь DOM под рукой.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Quake3 сказал(а):
чистый хттп мало кому интересен, сейчас любой говносайт имеет хттпс, особенно те, которые нужно грабить.
Еще надо учесть , что сейчас хттп2 (и экспериментально внедряют хттп3), можно это все отключать конечно , но это не выход.
Это да. В этом случае нужно SSL_Read/Write хукать и т.п. или прокси.

Но никто не пробовал не хукать эти фукнции, а хукать то, что в нем находится? Разные функции lstrcat, wnsprintfW и т.п. или даже хукать http 2.0. где там архивирует. Все по сути склоняется апи функциям. Гемор тот еще, чтоб найти, но оно того стоит
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх