KasperWAF
Гость
Собственно недавно тут продавались эти исходники, взял их для изучения и решил поделиться с комьюнити
Пароль местный
Пароль местный
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Пример легаси, который нужно долго рефакторить (тот же Stealing.cpp весом в 101кб), но это первый коммерческий стиллер, с выложенными исходниками на плюсах. В свое время стиллер был толковым, как и его разраб.
Кстати, интересная реализация SQLite от Alexuiop - перенести с https://github.com/swagkarna/StormK...stub/Neko/Modules/Passwords/Helpers/SQLite.cs на C++, это первое что попалось в глаза
.
Декрипт Firefox - все так же черезжопу перенос из StormKitty. Правда в Taurus уже используются подкачиваемые длл, болезнь всех нативных стиллеров на рынке.
Спасибо за сурс, изучим и будем клепать как и StormKitty, естественно с елочной обфускацией. Хейтеры дотнета и одепты нативной малвари - возрадуйтесь тому, что вас ждет.
P.S. Predator был еще до StormKitty, перенос скорее из N0FIL3, но так проще для понимания. Да и вообще такое ощущение что весь код это первое нагугленное решение на дотнете и перенос его в плюсы, причем не очень качественное, но зато работает.
Кстати, интересная реализация SQLite от Alexuiop - перенести с https://github.com/swagkarna/StormK...stub/Neko/Modules/Passwords/Helpers/SQLite.cs на C++, это первое что попалось в глаза
.Декрипт Firefox - все так же через
Спасибо за сурс, изучим и будем клепать как и StormKitty, естественно с елочной обфускацией. Хейтеры дотнета и одепты нативной малвари - возрадуйтесь тому, что вас ждет.
P.S. Predator был еще до StormKitty, перенос скорее из N0FIL3, но так проще для понимания. Да и вообще такое ощущение что весь код это первое нагугленное решение на дотнете и перенос его в плюсы, причем не очень качественное, но зато работает.
Последнее редактирование:
Ух, угорел с этого. "Хиз инглиш из бед, из бед и разочарований" (с), уж писал бы в дебаг лог по-русски, ежели с английским такие проблемы.
Для себя же писал наверное,а при переключении раскладки постоянно тыкается какие-то хоткеи в вс + нужно заново тыкать на область с кодом
password - xss.pro
А нах его рефакторить. Вешай фасады и не парься.Пример легаси, который нужно долго рефакторить (тот же Stealing.cpp весом в 101кб), но это первый коммерческий стиллер, с выложенными исходниками на плюсах. В свое время стиллер был толковым, как и его разраб.
Кстати, интересная реализация SQLite от Alexuiop - перенести с https://github.com/swagkarna/StormK...stub/Neko/Modules/Passwords/Helpers/SQLite.cs на C++, это первое что попалось в глаза
Декрипт Firefox - все так же черезжопуперенос из StormKitty. Правда в Taurus уже используются подкачиваемые длл, болезнь всех нативных стиллеров на рынке.
Спасибо за сурс, изучим и будем клепать как и StormKitty, естественно с елочной обфускацией. Хейтеры дотнета и одепты нативной малвари - возрадуйтесь тому, что вас ждет.
P.S. Predator был еще до StormKitty, перенос скорее из N0FIL3, но так проще для понимания. Да и вообще такое ощущение что весь код это первое нагугленное решение на дотнете и перенос его в плюсы, причем не очень качественное, но зато работает.
passw? help me
xss.procontraseña ayúdame
Вообще, он не первый, кто SQLHandler перенес на плюсы, это делал еще кодер Necro.Только вот в Necro юзались реализации STL, а тут чистый STL.Кстати, интересная реализация SQLite от Alexuiop - перенести с https://github.com/swagkarna/StormK...stub/Neko/Modules/Passwords/Helpers/SQLite.cs на C++, это первое что попалось в глаза
Я глянул ластовый таурус, там FirePwd переписанный на натив.
Динамический импорт вообще из карбанака спиздили
Отмечу ради справедливости, что N0F1L3 это квазар :/
Кароче паста на пасте пастой погоняет...
За панель ничего сказать не могу, но надеюсь знатоки своё мнение озвучат.
огромный респект за слив.
sqlite парсер был в Pony, причем квалификация автора пони явно выше , чем у того шарпера, на которого выше ссылались. Но , с шарпа переписать проще, чем с масм, это да.
А вообще,желательно все это дело на сервере парсить и будет норм.
А вообще,желательно все это дело на сервере парсить и будет норм.
Дак не тянуть же по 10мб+ к себе на сервак или может это только я по интернет траффику загоняюсь...
Нормальной практикой считаю SQLite в сурсах, а декрипт полученных значений уже на серваке.
На тестах оно может и норм, серверный SQLite, а вот если на реальной машине - получается тихий ужас.
А тянуть 10+ мб говнолиб мозиллы с сервака это норм?)
А это на совести разработчика. Можно ведь и смапить в памяти не дропая на диск, скачивать по TCP а не по HTTP и даже не в архиве. Да бесконечно можно ржать с этого, зато проще, удобнее и 30-50кб вес!
Когда нибудь стилаки упрутся в рантайм по SQLite+dll как уже сейчас с доступом к файлам браузера и начнется веселуха говнокодинга (вангую уже некоторые представители зоопарка уперлись, просто лень/долго переделывать и оказывается что проще оверкиллить инжектами).
Но скачать их все равно надо.
Что-что?)
Писал уже сто раз, можно выдрать с пони крошечный алгос или дешить на сервере , но каждому свое.
Кстати, на десятке есть sqlite3.dll "из коробки"
Может или я плохо тебя понял или ты меня. Связь по HTTP на WinInet/ишак/сокет же не нужна и признак нежелания сделать нормально из-за того что он анализируется по тому же GET с кучей параметров и у фаерволла эрекция? Можно ведь на TCP и своем прото (эрекция все равно будет, но не такая сильная).
Еще сильнее, в разы сильнее.
Странно конечно, у меня просто и шифруется еще и прото никому не виден (ну можно запарится и выдернуть ключ в рантайме, который веселым образом генерируется для каждого запуска). Думаю что на HTTP повесить правило фаерволла/детект по сетевой активности легче чем на голый TCP.
http работает на tcp, как бы ты кодер , поэтому и удивился; кастомный протокол не будет работать у корпов , где режется почти все.
То что HTTP это TCP понятно дело
. Я думал у корпов и так HTTP жестоко режется, вплоть до белых листов (по крайней мере у нашего известного банка в его впне так). Я в основном говорил, что сетевую активность отследить и как-то задетектить через EDR голый TCP сложнее, чем HTTP (даже HTTPS), может не прав?Whisper делись...
А ты сожми нормально, через LZ4, например, и не будет никаких 10мб траффа.Да, будет выше нагрузка на серв, но она не такая критичная.
Вообще, я поддерживаю полноценный Server-Side Decrypt стиллак, и я могу сказать следующее: если кодер норм шарит за сетевуху и способен разработать нормальный протокол общения сервак<->клиент, по которому будут передаваться данные, то всё ок.Проблема в том, что люди которые пишут стиллаки для паблика работали с HTTP максимум.Исключения тоже встречаются.Все мы помним ficker, где он сейчас? Имхо, человек понял, что уже вырос из паблика и решил уйти в приват со своим проектом(поправьте, если кто знает, что было на самом деле).
Что же касается корпов, покажите мне человека, который запускает обычные стиллаки на сетках? Под такие цели вроде пишутся софты с локальным декриптом и сохранением лога.
UPD: я не работаю по сеткам.
UPD2: забыл упомянуть еще один важный момент.Когда вы парсите и декриптите данные на серваке, вы всяко отдадите предпочтение официальным либам.Например дотнетовскому System.Data.SQLite.Если вы парсите бд на клиенте, то скорее всего, у вас будут проблемы с парсингом.Написание своего СТАБИЛЬНОГО парсера sqlite задача далеко не самая простая.Например, шарповский SQLiteHandler не умеет нормально работать с китайскими символами.Из-за чего отстук на азиатских машинах падает.
Последнее редактирование: