• XSS.stack #1 – первый литературный журнал от юзеров форума

Подмена сертификата ехе файла

Отслеживать
jeric

jeric

RAID-массив
Пользователь
Регистрация
15.06.2020
Сообщения
51
Реакции
21
Нигде не могу найти актуальную рабочую инфу о способах подмены сертификата ехе файла. На гитхабе нашел утилиту sigthief, но она не рабочая, на форуме в одной из статей видел описание что то типа..."возьмите подпись у проверенного файла и поменяйте", но конкретики тоже никакой. Кому не сложно и не жалко помогите разобраться.
 
Решение
Salo666
jeric сказал(а):
Нигде не могу найти актуальную рабочую инфу о способах подмены сертификата ехе файла. На гитхабе нашел утилиту sigthief, но она не рабочая, на форуме в одной из статей видел описание что то типа..."возьмите подпись у проверенного файла и поменяйте", но конкретики тоже никакой. Кому не сложно и не жалко помогите разобраться.
Код: 
Качаем https://github.com/secretsquirrel/SigThief/commit/6620cac4919d60097b4135be9e846a82608a02ca

Или с оф. источника: https://github.com/secretsquirrel/SigThief
Ставим python я использовал 3.7.4 версию https://www.python.org/downloads/
кладем sigthief.py на диск C:\
Жмем win+r пишем cmd > Enter
Откроется командная строка
вводим: cd c:\
Сворачиваем не закрываем.
кладем на диск в корень C:\ ваш файл и...
Сортировать по дате Сортировать по голосам
За 0 Против
jeric сказал(а):
Нигде не могу найти актуальную рабочую инфу о способах подмены сертификата ехе файла. На гитхабе нашел утилиту sigthief, но она не рабочая, на форуме в одной из статей видел описание что то типа..."возьмите подпись у проверенного файла и поменяйте", но конкретики тоже никакой. Кому не сложно и не жалко помогите разобраться.
Код: 
Качаем https://github.com/secretsquirrel/SigThief/commit/6620cac4919d60097b4135be9e846a82608a02ca

Или с оф. источника: https://github.com/secretsquirrel/SigThief
Ставим python я использовал 3.7.4 версию https://www.python.org/downloads/
кладем sigthief.py на диск C:\
Жмем win+r пишем cmd > Enter
Откроется командная строка
вводим: cd c:\
Сворачиваем не закрываем.
кладем на диск в корень C:\ ваш файл и назовем его stealler.exe
Так же берем любой exe файл у которого есть подпись, хоть chrome.exe
и кладем его туда же в корень на диск C:\ и назовем key.exe
Разворачиваем командную строку и вводим:
sigthief.py -i key.exe -t stealler.exe -o yesbuild.exe
после жмем Enter
Появится файл: yesbuild.exe это и будет ваш файл с подписью.
 
За 1 Против
Решение
Salo666 сказал(а):
Код: 
Качаем https://github.com/secretsquirrel/SigThief/commit/6620cac4919d60097b4135be9e846a82608a02ca

Или с оф. источника: https://github.com/secretsquirrel/SigThief
Ставим python я использовал 3.7.4 версию https://www.python.org/downloads/
кладем sigthief.py на диск C:\
Жмем win+r пишем cmd > Enter
Откроется командная строка
вводим: cd c:\
Сворачиваем не закрываем.
кладем на диск в корень C:\ ваш файл и назовем его stealler.exe
Так же берем любой exe файл у которого есть подпись, хоть chrome.exe
и кладем его туда же в корень на диск C:\ и назовем key.exe
Разворачиваем командную строку и вводим:
sigthief.py -i key.exe -t stealler.exe -o yesbuild.exe
после жмем Enter
Появится файл: yesbuild.exe это и будет ваш файл с подписью.
Traceback (most recent call last):
File "C:\sigthief.py", line 248, in <module>
writeCert(cert, options.targetfile, options.outputfile)
File "C:\sigthief.py", line 125, in writeCert
shutil.copy2(exe, output)
File "C:\Users\admin\AppData\Local\Programs\Python\Python37-32\lib\shutil.py", line 266, in copy2
copyfile(src, dst, follow_symlinks=follow_symlinks)
File "C:\Users\admin\AppData\Local\Programs\Python\Python37-32\lib\shutil.py", line 121, in copyfile
with open(dst, 'wb') as fdst:
PermissionError: [Errno 13] Permission denied: 'newfile.exe'


Вот что получается. Что не так делаю?
 
За 0 Против
jeric сказал(а):
Traceback (most recent call last):
File "C:\sigthief.py", line 248, in <module>
writeCert(cert, options.targetfile, options.outputfile)
File "C:\sigthief.py", line 125, in writeCert
shutil.copy2(exe, output)
File "C:\Users\admin\AppData\Local\Programs\Python\Python37-32\lib\shutil.py", line 266, in copy2
copyfile(src, dst, follow_symlinks=follow_symlinks)
File "C:\Users\admin\AppData\Local\Programs\Python\Python37-32\lib\shutil.py", line 121, in copyfile
with open(dst, 'wb') as fdst:
PermissionError: [Errno 13] Permission denied: 'newfile.exe'


Вот что получается. Что не так делаю?
покажи как ты пишешь в команной строке запрос
 
За 0 Против
jeric сказал(а):
Нигде не могу найти актуальную рабочую инфу о способах подмены сертификата ехе файла. На гитхабе нашел утилиту sigthief, но она не рабочая, на форуме в одной из статей видел описание что то типа..."возьмите подпись у проверенного файла и поменяйте", но конкретики тоже никакой. Кому не сложно и не жалко помогите разобраться.
Salo666 сказал(а):
покажи как ты пишешь в команной строке запрос

А в чем смысл всей этой канители, если без приватных ключей ты не подписываешь файл подписью (что бы она была валидна для этого файла), а просто копируешь байты из раздела Security Directory, содержащиеся там байты перенесутся в новый файл и визуально будет написано, что подпись есть, только вот она будет невалидна для этого файла, это может только помочь при впаривании файла тупому юзеру, для АВ же это будет означать что подписи нет
 
За 0 Против
jeric сказал(а):
c:\>sigthief.py -i chrome.exe -t build.exe -o new.exe
попробуй названия файлом не менять делать четко как в мануале
arsarsov сказал(а):
А в чем смысл всей этой канители, если без приватных ключей ты не подписываешь файл подписью (что бы она была валидна для этого файла), а просто копируешь байты из раздела Security Directory, содержащиеся там байты перенесутся в новый файл и визуально будет написано, что подпись есть, только вот она будет невалидна для этого файла, это может только помочь при впаривании файла тупому юзеру, для АВ же это будет означать что подписи нет
что попросили то и дал) DigitalSignatureTweaker еще есть приблуда но так и не понял как она работает (точней как вшить файл так чтобы он запустился лично у меня не получилось запустить .hta хотя файл склеился серт не слител)
 
За 0 Против
jeric сказал(а):
Traceback (most recent call last):
File "C:\sigthief.py", line 248, in <module>
writeCert(cert, options.targetfile, options.outputfile)
File "C:\sigthief.py", line 125, in writeCert
shutil.copy2(exe, output)
File "C:\Users\admin\AppData\Local\Programs\Python\Python37-32\lib\shutil.py", line 266, in copy2
copyfile(src, dst, follow_symlinks=follow_symlinks)
File "C:\Users\admin\AppData\Local\Programs\Python\Python37-32\lib\shutil.py", line 121, in copyfile
with open(dst, 'wb') as fdst:
PermissionError: [Errno 13] Permission denied: 'newfile.exe'


Вот что получается. Что не так делаю?
питон от прав админа нужно запустить, он новый файл создать не может
 
За 0 Против
Пожалуйста, обратите внимание, что пользователь заблокирован
jeric сказал(а):
Traceback (most recent call last):
File "C:\sigthief.py", line 248, in <module>
writeCert(cert, options.targetfile, options.outputfile)
File "C:\sigthief.py", line 125, in writeCert
shutil.copy2(exe, output)
File "C:\Users\admin\AppData\Local\Programs\Python\Python37-32\lib\shutil.py", line 266, in copy2
copyfile(src, dst, follow_symlinks=follow_symlinks)
File "C:\Users\admin\AppData\Local\Programs\Python\Python37-32\lib\shutil.py", line 121, in copyfile
with open(dst, 'wb') as fdst:
PermissionError: [Errno 13] Permission denied: 'newfile.exe'


Вот что получается. Что не так делаю?
Turn off AV
 
За 0 Против
Пожалуйста, обратите внимание, что пользователь заблокирован
Salo666 сказал(а):
попробуй названия файлом не менять делать четко как в мануале

что попросили то и дал) DigitalSignatureTweaker еще есть приблуда но так и не понял как она работает (точней как вшить файл так чтобы он запустился лично у меня не получилось запустить .hta хотя файл склеился серт не слител)
It won't be signed 'correctly' anyway. On UAC prompt, file still will be unknown.
 
За 0 Против
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх