Mensajes

Presento a Batch Hide Compiler:
https://foro.elhacker.net/analisis_y_diseno_de_malware/bhc_batch_hide_compiler_20_by_whk_proyecto_para_abril_negro-t253872.0.html;msg1228416#msg1228416

[Batch Hide Compiler]

Batch Hide Compiler

BHC ejecutable Descargar acá

Para las personas que deseen saber como funciona pueden descargar el código fuente 
Descargar código fuente BHC 2.0 acá

si van a modificar algo por favor en lo posible dar créditos o mostrar que por lo menos lo sacaron de acá, el resto pueden hacer lo que quieran con el código. Para futuras actualizaciones no incluiré la fuente para evitar el copy/paste.

Bueno, después de mucho tiempo con el antiguo proyecto BHC 1.2
http://foro.elhacker.net/hacking_basico/escondiendo_tus_batch-t163674.0.html
he lanzado por fin la versión 2.0   creado desde cero sin tomar nada del antiguo proyecto aunque la práctica es similar.

¿De que se trata?
Es un IDE para la edición de archivos Bat, o sea un editor gráfico, pero cual es la diferencia entre otros editores?

• Genera Ejecutables! y su ejecución no se ve en lo absoluto evadiendo que aparezca esa ventana de MSdos.
  
• Opción de darle el ícono que desees al ejecutable final.
  
• Compresión del archivo final en UPX (Opcional).
  
• Opcionalmente puedes hacer que el ejecutable lanze un mensaje de error al ejecutarse.
  
• Portable.
  
• Puedes editar, agregar y eliminar las funciones rápidas que aparecen en el menú muy fácilmente ya que el sistema carga los scripts desde archivos de texto *.txt. Dentro del directorio "Scripts" hay un texto muy explicativo para hacer los cambios tal cual aparece en el video.
  
• Puedes editar cada opción del BHC y no necesitas reescribirlas cada ves que lo ejecutes ya que tiene soporte de configuración portable en un archivo .ini
  
• Contiene una sección que se conecta directamente con el foro para ofrecerte una documentación adecuada sobre este tipo de lenguaje.
  
• No necesitas reiniciar el programa para recargar Scripts.
  
• Soporte para Multi-Instance.
  
• Stub compatible con cualquier editor que soporte el sistema de inyección BHC.
  
  
  Capturas
  
  
  
  
  
  
  
  
  
  Cambios
  2.1
  
• Soporte Highlighting para el editor.
  
• Stub mas liviano.
  
• Las dependencias ya no van en el directorio principal del programa sino en el directorio "dependencias"
  
• Instalador actualizado, si no tienes alguna librería o te falta la reparación del ieframe solamente le haces doble click al bat llamado "install.bat" y con eso no deberías tener ningún problema ni la necesidad de bajar nada ya que todo viene incluido.
  
• El area de los scripts rápidos fue ampliada.
  
  
  2.2
  
• Ahora contiene soporte para Scripts diseñados en Bat, javascript y VBScript
  
• SemiTransparencias en ventanas.
  
• Modo gráfico compatible con computadores de bajos recursos ya que puedes editar su diseño hasta dejarlo en modo clásico.
  
• Cambios en la estructuración del Stub, ahora los datos se inyectan via cifrado RC4 con una llave al azar de 32 bites.
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  Sistema de inyección sobre el stub
  El sistema de inyección consiste en que el stub.dll es el stub.exe y cuando este se ejecuta hace lo siguiente:
  
  
  El dia en que un antivirus lo detecte simplemente modificaré el valor de la firma y lanzaré la actualización del stub.dll y daré dos valores que son las dos firmas que ustedes deben ingresar en el BHC donde dice "Firma de estracción del bat" y "Firma del MessageBoxA".
  
  El mensaje de alerta puede ser opcional, en ese caso no es necesario incluir el mensaje ni la firma pero si debes mantener el mismo orden, o sea.. no puedes inyectar el bat y despues el mensaje de alerta.
  
  
  También puedes crear tus propias versiones de BHC como si se tratase de un distriro   ya que puedes dar el sistema con un listado de scripts que tu desees y con las configuraciones que tu desees en el bhc.ini, además puedes cambiarle el diseño con una mascara de "Actskin 4" y ponersela reemplazando el archivo "bhc_dtskn.dll" por tu mascara.
  Si modificas algo te pediría que por favor no ocultes la sección de "acerca de.." ni sus enlaces al foro.
  
  
  Video de youtube:
  [youtube=425,350]http://www.youtube.com/watch?v=N2cdYK-4w_k[/youtube]
  
  Video en tamaño original acá
  
  PD: Gracias a Shell-Killer por el diseño del Splash de la versión 2.0

Intenta buscar si eso aparece en tu base de datos o está escrito en tu platilla.

También te recomiendo que verifiques si alguien mas tiene acceso a tu servidor o no, observa los access_log del apache y trata de ver los ultimos accesos, talves alguien tiene una shell oculta.

De por si solo si smf 1.1.8 fuera vulnerable ya habrían ms foros afectados comenzando por este  y otros vecinos pero no ha sucedido asi que no creo que la falla esté en smf, lo mas probable es que alguien tiene acceso a tu base de datos o archivos.

Cambia el pass de tu user y verifica que no hayan mas usuarios con el rango de admin o cosas así, cambia el pass de tu ftp si puedes o de tu base de datos, con find y grep busca archivos infectados que contengan la palabra "c99", "r57", "eval(gzinflate", "system($_", etc etc.

Hola, la función cdbl() pasa de string a integer para ser procesado en MSsql para un sistema web basado en Visual Basic Script.. ahora, lo que te quiere decir es que el valor ingresado no es válido asi que te lanza ese error para no continuar procesando el valor de la query.

Pude ver en algunos manuales hace un tiempo que este tipo de filtros no debe ser aplicados ya que siempre que alguien inserte un valoir no numerico aparecerá ese error, por el contrario se pueden crear otros tipos de filtros.

Por ejemplo lo mas probable es que en el script esté escrito de la siguiente forma:

Código (vbnet) [Seleccionar] Expandir

id = cdbl(request("id"))
Así que cuando quieras insertar una inyección sql en esa variable te arrojará un error pero no te permitirá hacer la inyección ya que la función cdbl está forzando la transformación.

• http://www.google.cl/search?hl=es&q=Microsoft+VBScript+runtime++error+%27800a000d%27+Type+mismatch%3A+%27CDBL%27++inyeccion+sql&btnG=Buscar&meta=
  
• http://www.securityfocus.com/archive/1/396749
  
• http://www.palecrow.com/content/GCIH/Matt_Borland_GCIH.html
  
• http://forums.digitalpoint.com/showthread.php?t=125212
  
• http://support.microsoft.com/default.aspx/kb/195180

yo diré... bambalam

o bamcompile

Jugando un poco de como sumar meses al formato excel y pasarlo al formato unix 

Código (php) [Seleccionar] Expandir

<?php
$fecha_excel = '39818';

$dat_unix = exceldate2timephp($fecha_excel);
$mes_unix = mktime(0, 0, 0, date('m', $dat_unix)+1  , date('d', $dat_unix), date('Y', $dat_unix));
echo 'Actual: '.date('Y-m-d', $dat_unix).'<br />';
echo 'Un mes despues: '.date('Y-m-d', $mes_unix).'<br />';

function exceldate2timephp($int_exceldate){
 return mktime(null, null, null, null, $int_exceldate - '36495', null, null);
}
?>

Esque se supone que por cada quota de pago debe aumentar la fecha a un mes  para que la persona pueda pagar una quota mensual y los datos de todos los clientes están en archivos excel mientras que migran a un sistema php.

[36495]

Bueno, ya lo solucioné..

estuve buscando como trabajaba el formato time de unix asi que puse

Código (php) [Seleccionar] Expandir

<?php echo date('Y-m-d', 1); ?>

y así hasta llegar a 10000 que era el valor por dia ya que el resto son minutos, horas, segundos y centecimas de segundo.. pero pude ver un desface de 1 dia por cada 135 dias asi que no me sirvió  .. busqué y encontré muchas funciones como por ejemplo strftime, mktime, gmmktime, etc.. al final que pude ver una que meajustaba a lo que necesitaba: "mktime".

Pude ver que podias asignar una variable con una fecha en formato unix:

Código (php) [Seleccionar] Expandir

<?php echo date("M-d-Y", mktime(0, 0, 0, 12, 32, 1997)); ?>

Pero intenté dar valores nulos y solo proporcionar el dia, no sabia si funcionaría ya que se supone el dia debería ser del 1 al 31 o por lo menos no lo especificaba en ningun lado pero lo intenté...

Código (php) [Seleccionar] Expandir

<?php echo date("M-d-Y", mktime(null, null, null, null, '39818', null, null)); ?>

Biieennn!! ahora solo es cuestión de restarle el desface de fecha entre el primer dia del formato unix al primer dia del formato excel:
http://support.microsoft.com/kb/214094

el número de serie 1 representa 1/1/1900

pruebo..

Código (php) [Seleccionar] Expandir

<?php echo date("M-d-Y", mktime(null, null, null, null, '1', null, null)); ?>

Tengo la fecha "Dec-01-1999" y "1/1/1900" asi que lo resté en valores de dias y saqué el valor "36495" 

Ya con estos datos puedo hacer mi función:

Código (php) [Seleccionar] Expandir

function exceldate2timephp($int_exceldate){
return mktime(null, null, null, null, $int_exceldate - '36495', null, null);
}

Uso:

Código (php) [Seleccionar] Expandir

<?php
echo date("M-d-Y", exceldate2timephp('39818'));

function exceldate2timephp($int_exceldate){
 return mktime(null, null, null, null, $int_exceldate - '36495', null, null);
}
?>

Ojala que a alguien le pueda servir como a mi.

Tengo un pequeño problema y es que tengo un valor de una fecha: "39818" que significa "2009-01-05" y necesitaba hacer la función que hiciera el calculo pero ando un poco perdido.. estuve buscando información acá:
http://support.microsoft.com/kb/214094

Excel almacena todas las fechas como enteros y todas las horas como fracciones decimales. Con este sistema, Excel puede sumar, restar o comparar fechas y horas como cualquier otro número, y todas las fechas se manipulan utilizando este sistema.

En este sistema, el número de serie 1 representa 1/1/1900 12:00:00 a.m. Las horas se almacenan como números decimales entre ,0 y ,99999, donde ,0 es 00:00:00 y ,99999 es 23:59:59. Los enteros de fecha y las fracciones decimales de hora pueden combinarse para crear números que tengan una parte decimal y una parte entera. Por ejemplo, el número 32331,06 representa la fecha 7/7/1988 y la hora 1:26:24 a.m.

Ahora no se como podría calcular las fechas para ir corriendo dia, mes y año según el número que me arroja el excel. Este problema lo tube al importar archivos con el formato de la fecha cambiado y debo compatibilizarlo.

Lo otro sería pasar de ese formato a getmicrotime() y de ahi convertir a date() pero no se cual sería la equivalencia, al parecer los decimales debo convertirlos en entro pero no estoy seguro.. mientras tanto que hago pruebas y comparar fechas con ambos formatos espero que alguien me pueda dar una orientación.

Si lo resuelvo antes igual lo dejaré posteado.

Gracias.

Aunque usaras una botner diez veces mas grande que bush lo unico que lograrias es que los administradores se den cuenta y lo reparen pero no creo que aun asi se caiga ni se ponga lento ya que si llegas a joder un solo servidor estos tiene clousters por todos lados y tendrias que nukear a miles de servidores con el ancho de banda ilimitado y con procesadores que nunca encontrarías en una tienda ni por pedidos.
son cuartos y cuartos repartidos en muchas ciudades y lugares, no puedes y por eso no es vulnerabilidad a menos que ataques al servidor con una falla genérica como una denegación remota causada por el software haciendo que caigan con un solo paquete y hacer un loop para sacarles a todos los servidores fuera de linea pero aun asi tienen los medios de proteccion y respaldo.

No puedes no puedes y no puedes  .

No creo que con un ataque ddos a google puedas hacerle daño aunque le hagas una query de diez mil respuestas ya que el o los servidores se adaptarán a la velocidad de descarga de tu pc o servidor cambiando el tiempo de petición.

Ahora de todas formas si es una falla de programación pero no se si se pueda decir que es una vulnerabilidad ya que si alguien quiere hacer una backup completa de un sitio o hace alguna herramienta que forzadamente requiera de todos los temas de un sitio web entonces google debe estar preparado y para eso tienen sus miles de servidores. Aunque digo que puede ser una falla porque lo normal es que no lo haga y talves no se percataron de eso pero aun asi no vulnerarías al servidor con eso.

Igual por ejemplo anteriormente si escribias un espacio en blanco o un caracter nulo en el buscador de google este aparecía en blanco pero hubo un tiempo en que repararon eso y ahora te redirige al index nuevamente pero todavía hay carácteres que no producen resultados provocando una nomalía pero no una vulnerabilidad
http://www.google.cl/search?hl=es&q=%0D%0A