NetSter
05.05.2009, 11:53
Вот не раз поднимался вопрос (также неоднократно мной ;) ) о том как заюзать чужой акк в сети под управлениям траффик инспектора.
Решил по єтому поводу снять небольшое ЛЮБИТЕЛЬСКОЕ видео и добавить небольшой мануалл.
1) вступление
Мой провайдер раздает трафик в локалке через вышеупомянутый трафф инсп (далее Т.И.)
Внимательно осмотрим клиентскую часть и все что с ней связано...
http://img512.imageshack.us/img512/8375/91066322.th.png (http://img512.imageshack.us/my.php?image=91066322.png)
Анализ файлов внутри директории клиента ничего нам не дают интересного и мы идем в реестр...
долго искать на приходится...
сама ветка реестра клиентской части выглядит так
http://img18.imageshack.us/img18/5863/38414832.th.png (http://img18.imageshack.us/my.php?image=38414832.png)
HKEY_CURRENT_USER\Software\Smart-Soft\TrafInspUserAgent
2) Как видим у нас есть логин и хеш пароля.
Для меня было чуть сложно но тем не менее я нацарапал простейшую софтину которая угоняет с реестра хеш и логин, а также для аутентификации Ip и МАС (у нашего провайдера безопасность на первом уровне и для аутентификации нужно не только логин и пароль, а и правильный IP, МАС и желательно имя компа, так как оно фиксируется на сервере тоже, но не есть обязательным для аутентификации клиентской части Т.И. )
Все это дело пакуем в файл, название которому - имя ПК и делаем отправку на FTP/
3) Для понта делаем ошибку при запуске иконку и т.д.
Пускаем по сети во все расшареные папки в которых есть возможность записи. (да, в локалке где постоянно включено как минимум 400 ПК это просто))))
4) Ждем прихода репотов. Долго ждать не приходится так как я сделал несколько копий с разными иконками и названиями, к тому же антивири все что могут сказать про файл - это то что у него просто нет цифровой подписи (сказал каспер, другие вообще молчат)
5) Ну и собственно на видео показано как с репота тащим инфо и юзаем чужой акк..
Пароль нам не нужен, для аутентификации используем сам хеш, который получили.
только записать его нужно не только в ветку с которой брали, но и в
HKEY_USERS\S-1-5-21-913861662-935948056-3826204595-1006\Software\Smart-Soft\TrafInspUserAgent
при чем часть S-1-5-21-913861662-935948056-3826204595-1006
по ходу на каждом ПК разная.
После этого смените МАС вручную или спец прогами, смените IP и юзайте акк.
6) ВАЖНО!
Информация представлена только для ознакомления и видео снято только для обучающих целей.
Все действия не носят характера ущерба в сторону юзеров которые в связи с своей неосторожностью и с несовершенством современной антивирусной защиты делом случая участвовали в съемках видео.
Для предотвращения получения пользователями стресса в связи с юзаньем их аккаунта все съемки проводились во время отсутствия пользователей.
Все действия не подразумевают под собой получения доступа к интернет обманным путем и в будущем не повторятся.
ВИДЕО
Скачать файл part3.exe (http://dump.ru/file/2557578)
Скачать файл part2.exe (http://dump.ru/file/2557579)
Скачать файл part1.exe (http://dump.ru/file/2557580)
пасс - antichat
Все видео конвертировано программой uvScreenCamera
в *ехе формат в связи с отсутствием нормального кодека для конвертации в видео формат и багами версии что я юзал. (по ходу там в ехе плеер тоже записался так что с просмотром баг не должно быть)
СПС за внимание )
у кого есть вопросы - в личку.
Решил по єтому поводу снять небольшое ЛЮБИТЕЛЬСКОЕ видео и добавить небольшой мануалл.
1) вступление
Мой провайдер раздает трафик в локалке через вышеупомянутый трафф инсп (далее Т.И.)
Внимательно осмотрим клиентскую часть и все что с ней связано...
http://img512.imageshack.us/img512/8375/91066322.th.png (http://img512.imageshack.us/my.php?image=91066322.png)
Анализ файлов внутри директории клиента ничего нам не дают интересного и мы идем в реестр...
долго искать на приходится...
сама ветка реестра клиентской части выглядит так
http://img18.imageshack.us/img18/5863/38414832.th.png (http://img18.imageshack.us/my.php?image=38414832.png)
HKEY_CURRENT_USER\Software\Smart-Soft\TrafInspUserAgent
2) Как видим у нас есть логин и хеш пароля.
Для меня было чуть сложно но тем не менее я нацарапал простейшую софтину которая угоняет с реестра хеш и логин, а также для аутентификации Ip и МАС (у нашего провайдера безопасность на первом уровне и для аутентификации нужно не только логин и пароль, а и правильный IP, МАС и желательно имя компа, так как оно фиксируется на сервере тоже, но не есть обязательным для аутентификации клиентской части Т.И. )
Все это дело пакуем в файл, название которому - имя ПК и делаем отправку на FTP/
3) Для понта делаем ошибку при запуске иконку и т.д.
Пускаем по сети во все расшареные папки в которых есть возможность записи. (да, в локалке где постоянно включено как минимум 400 ПК это просто))))
4) Ждем прихода репотов. Долго ждать не приходится так как я сделал несколько копий с разными иконками и названиями, к тому же антивири все что могут сказать про файл - это то что у него просто нет цифровой подписи (сказал каспер, другие вообще молчат)
5) Ну и собственно на видео показано как с репота тащим инфо и юзаем чужой акк..
Пароль нам не нужен, для аутентификации используем сам хеш, который получили.
только записать его нужно не только в ветку с которой брали, но и в
HKEY_USERS\S-1-5-21-913861662-935948056-3826204595-1006\Software\Smart-Soft\TrafInspUserAgent
при чем часть S-1-5-21-913861662-935948056-3826204595-1006
по ходу на каждом ПК разная.
После этого смените МАС вручную или спец прогами, смените IP и юзайте акк.
6) ВАЖНО!
Информация представлена только для ознакомления и видео снято только для обучающих целей.
Все действия не носят характера ущерба в сторону юзеров которые в связи с своей неосторожностью и с несовершенством современной антивирусной защиты делом случая участвовали в съемках видео.
Для предотвращения получения пользователями стресса в связи с юзаньем их аккаунта все съемки проводились во время отсутствия пользователей.
Все действия не подразумевают под собой получения доступа к интернет обманным путем и в будущем не повторятся.
ВИДЕО
Скачать файл part3.exe (http://dump.ru/file/2557578)
Скачать файл part2.exe (http://dump.ru/file/2557579)
Скачать файл part1.exe (http://dump.ru/file/2557580)
пасс - antichat
Все видео конвертировано программой uvScreenCamera
в *ехе формат в связи с отсутствием нормального кодека для конвертации в видео формат и багами версии что я юзал. (по ходу там в ехе плеер тоже записался так что с просмотром баг не должно быть)
СПС за внимание )
у кого есть вопросы - в личку.