Рабочий CVE-2021-41379

[n3tube]

Продам рабочий сплоит для CVE-2021-41379. Переписан на основе паблика https://github.com/klinix5/InstallerFileTakeOver.
Код почищен от AV детектов.
Требует (как и оригинал) установленый в системе Edge.
Тестирован на обновленной Win 10
На данный момент детектится только софосом и есетом https://checkzilla.io/scan/c575b21c-283d-4fc5-bde0-183031b7ae06
Запускает произвольный .bat файл по пути прописанном в коде с правами SYSTEM (если не устроит дефолтный путь, пропишу ваш)
Цена: $5000

За доп. плату возможна доработка под заказчика

 

[Vexer2k]

5000 долларов? Вы, должно быть, шутите над чем-то подобным.

 

[ev4ng3liya]

Продавать переписанный паблик сплойт за 5к зелёных = глупость
Потому что даже нанять кодера, который его перепишет будет дешевле

 

[BlackBet]

цена сильна завышена

 

[n3tube]

Попробую объяснить. Во первых, все сплоиты это, так или иначе, переписаные паблики выложенные теми, кто уязвимость нашел. Во вторых, ценность сплоита определяется тем, что от него нет патча и нанять кодера можно, и это, возможно, будет дешевле, но время будет упущено и к тому времени, как более дешевый вариант будет готов, уже выйдет обновление и сплоит превратится в тыкву. В третьих, хоть паблик и является просто POC и его боевое применение сильно ограничено, он, тем не менее, палится даже виндефом. Мой же вариант избавлен от этого недостатка. Ну и вопрос цены. Грамотная команда за те несколько дней, оставшиеся до выхода патча, успеет не только отбить эту сумму, но и навариться на несколько большее количество американских денег.

 

[BlackBet]

Ну начнем с того что если бы было что то достойное от проверенного вендора сплойтов тода то возможно я бы тебя где то потял ТС. То что от него нет патча это такой себе аргумент, седне нет а на через пару ней после покупки появиться. Смущает тот момент с упущенным временем, лично мое мнение такое что сплойт уже отбил свои вложения и даже сделал некий Х и именно по этому он на продаже, так скажем допинать

 

[ev4ng3liya]

Попробую объяснить. Во первых, все сплоиты это, так или иначе, переписаные паблики выложенные теми, кто уязвимость нашел. Во вторых, ценность сплоита определяется тем, что от него нет патча и нанять кодера можно, и это, возможно, будет дешевле, но время будет упущено и к тому времени, как более дешевый вариант будет готов, уже выйдет обновление и сплоит превратится в тыкву. В третьих, хоть паблик и является просто POC и его боевое применение сильно ограничено, он, тем не менее, палится даже виндефом. Мой же вариант избавлен от этого недостатка. Ну и вопрос цены. Грамотная команда за те несколько дней, оставшиеся до выхода патча, успеет не только отбить эту сумму, но и навариться на несколько большее количество американских денег.

Грамотная или неграмотная это не важно, то, что предлагаешь ты не стоит своих 5к зелёных. Ну, а ещё ты ничего аргументированного не сказал, а лишь прорекламил самого же себя.

 

[reeves]

ТС все правильно сказал, ценность сплоита в отсутствии пачта (со дня на день выйдет патч и всё - время упущено, дыры нет - сплот за даром).
Вопрос только в одном, что вы будете делать со сплоитом после покупки, сможете его где то применить ? если да - то цена нормальная, бабки отобьются.
А если купили, положили в папочку на компуктире и ждете какого то удобного момента, тогда да, вам и 500 баксов жирно будет.

 

[n3tube]

Господа, предложение все еще актуально!
Персональный билд каждому покупателю, на случай слива аверам
Практически фуд 2/40 https://kleenscan.com/scan_result/ecd668737b6dc9fe8b72af936e784278b33fbe0ec1afff9fc6a433bf9747cecf

 

[ColorS]

5000 долларов? Вы, должно быть, шутите над чем-то подобным.

вообще только селлеру решать за сколько продавать,

Персональный билд каждому покупателю, на случай слива аверам
Практически фуд 2/40 https://kleenscan.com/scan_result/ecd668737b6dc9fe8b72af936e784278b33fbe0ec1afff9fc6a433bf9747cec

во вторых не советую пользовать kleenscan он не безопасен, и продает сэмплы мелким ав, которые пошли на сотрудничество, это лично мое мнение, что я заметил во время использования

 

[n3tube]

Спасибо за подсказку про клинскан, похоже многие этим грешат

 

[weaver]

На гитхабе тоже рабочий, вопрос в другом, это фулл-сплойт или нет?

Тестирован на обновленной Win 10

Бьет ли Windows 10 Version 1809 for ARM64-based Systems ?

Security Update Guide - Microsoft Security Response Center

msrc.microsoft.com

 

[KAJIT]

for ARM64-based Systems ?

Ай не дави на больное, дружище, я слыхал бэккапы на AWS-ах модна хранить ( с Гравитоном - це камушек на арм-ах), так как шкафчики на арм барахлят у тех у кого они есть, да и есть не у многих...
по сабжу, тс у меня на форуме продает эт, он скинул на тест, воркало как заявлено.

 

[weaver]

Ай не дави на больное, дружище, я слыхал бэккапы на AWS-ах модна хранить ( с Гравитоном - це камушек на арм-ах), так как шкафчики на арм барахлят у тех у кого они есть, да и есть не у многих...

Просто если он переписал сплойт, то он я думаю добавил хоть какую то ОС из списка...
Если нет... То цена такому сплойту 0. Потому как пайлод в сплойте сменить любой дурак сможет. А то я знаю таких "кодеров". Я как раз статью про фуулы залил, чтобы обычным пабликом не барыжили.

 

[KAJIT]

То цена такому сплойту 0

Бро ты хорошо разбираешь в эксплоитах и как все устроенно технически. Но ты не в курсе за рынок и клиентов. На данный момент, толпа skids ищет тоже что и на гите, только со снятой защитой от мудилы, они купят у него и за 7к( они тупо покупали дедики и лочили сетку и им просто повезло - таких большинство, статей - аля - мама-ама-криминал aka как я трахал корпа на 2кк профита- вагон <<--- они будоражат неокрепшиые умы, а секюрити вопреки мнению некоторых - не становится лучше так быстро как хотелос бы ( ибо скушно уже - иных можно выставить за 10 минут - взял-точку-входа -> эскалация -> дальше работает переписаный CrackMapExec через рпрокси - все вся сеть в крови.

 

[n3tube]

Просто если он переписал сплойт, то он я думаю добавил хоть какую то ОС из списка...

Я понимаю про что ты говоришь, но это не тот случай. Ты в своей статье приводишь примеры, когда сплоит работает на разных ос и в зависимости от версии, свичит на разные куски кода. Но там это обусловлено тем, что в разных версиях уязвимость имеет небольшие но различия. Типа на семерке для переполнения нужно отправить на 100 байт больше, а на десятке на 112.
В этом сплоите обыгрывается косяк с правами при конфликте замены файла при установке и добавлять туда особо нечего.

Ну и 5 копеек, про "правильное" сплоитостроение. Все сплоиты с красиво оформленым кодом, менюшками, свистелками и перделками - это уже сплоиты написаные после того как сплоит стал безполезен. Возьми тот же ms017-10. Сейчас это просто произведение искуства. Но я очень сомневаюсь, что он был таким в то время когда по миру шагали всякие непети. То есть, я хочу сказать, что пока нет патча, пофиг на красоту - главное что бы сплоит "бил". А потом, кому интересно, может и обвесить его финтифлюшками

 

[KAJIT]

Я как раз статью про фуулы залил, чтобы обычным пабликом не барыжили.

И за что тебе и спс. кстати.
Глянь вон эти, ваще оборзели - за 0click Win RCE - какой то сраный лям всего. этож страшно преставить, че может така вещица в руках, того кто понимает. =/