06.12.2017 [Win7/8/10] تثبيت السيرفر بدون وجوده بreg,task وعدم ظهوره بالعمليات واستمرار عمله بعد حذفه


  • الـلـهـم انـصـر اخـوانـنـا الـمـسـلـمـيـن فـي بـورمـا وكـن مـعـهـم يـاربـاه يـاربـاه

الحالة
مغلق و غير مفتوح للمزيد من الردود.

BasharBachir

اللهم اغفر له وارحمه
طاقم الإدارة
28 أكتوبر 2018
2,620
3,576
1
الاخ بيبرس شومن Dead Sand
نزل لنا الموضوع هنا
[ طريقة ] - new persistence startup method "mof file malware"
واللي ماعرفو اهميته كثر جدا
واللي عرف بطل يكمل بالموضوع عشان بده صلاحيات ادمن :15:
عند عمل كمبايل لملف الmof
والحقوق كل الحقوق للاخ بيبرس انا فقط عملت استغلال للطريقة
الان وبماانني نزلت الموضوع هنا
Bypass Uac [W7,8,10] New Look [Clean-Bypass Avs]
فعملت استغلال جميل جدا للموضوع
خليني اول شي احاكي لكم الاستغلال
ملف واحد مجرد ماشغله الضحية رح يتم نسخ ملفين لملف التيمب "او اي مسار بدك اياه"
اتطمن النسخ بصير بطريقة غير تقليدية بيتخطى الحمايات
ان بعد تشغيل الملف الضحية 1 حذف الملف الاصلي اللي شغله
2 وراح حذف الملفين اللي بالتيمب
3 وحتى راح وحذف سيرفرك اللي بكون مثلا بمجلد الويندوز windows او system32
كله مارح ينفعه عند تشغيل حدث ما عملية ما انت بتحددها مثلا
explorer, userinit
اي عملية من العمليات اللي بتعرفها بتشتغل ببدء التشغيل رح
يرجع النظام لوحده يحمل لك سيرفرك ويرجع ينزله بمجلد الويندوز ويشغله لك
مارح ينزل شي بالتيمب هالمرة ومارح يكون بالاساس فيه ملف بالهارد
وعند تشغيل السيرفر ووصول التبليغ لك مارح يظهر عملية السيرفر ابدا بقائمة العمليات
وسيرفرك مش مثبت لا بالمهام المجدولة ولاباي مكان بالريجيستري
الان رح اشرح مهمة الملفات الثلاثة
الملف الاول الاصلي اللي بيشغله الضحية فيه ناتج موضوعي السابق
تخطي صلاحيات الادمن لملف ما على الهارد
الملف اللي رح يتخطى الصلاحيات او بالاصح رح يحصل عليها
عمله انه يعمل كمبايل للملف الثالث يعني يحدد حدث ما
ان حصل رح يشغل الداونلودر وينزل سيرفرك مثلا بمجلد الويندوز ويشغله لك
كل مرة عند كل مرة لحدوث هذا الحدث رح يصير هالشي
مافي اي ملف باي مكان النظام لوحده بسوي هالشي
وسيرفرك مارح يظهر بالعمليات من التاسك مانجر الخاصة بالويندوز
الان وعشان اعرف ان هالشرح رح يكون مطلوب بكثرة للاعضاء
رح اعطيكم السورسات الثلاثة بالكامل فقط كل ماعليك شوف الفديو
وعدل اللي بدك اياه واعمل كمبايل
بالاخير بيفضل عندك ملف واحد "اتطمن"
ومتى ماشغله الضحية انساني يمحي اللي بده مارح يهرب منك ابدا
السورس اللي رح ينسخ لك الملفين على مجلد التمب
ويعطي صلاحيات للملف اللي رح يعمل كمبايل للملف الاخر
"مثل ماقلت فينك تغير التيمب تعمله اي مجلد"
+ "بعد مايشتغل ملفك النهائي يتم حذف كل الملفات مارح تفرق معك"
+"يعني معك داونلودر ابدي وملفك مثبت بشكل ابدي لو تم محي كل شي"




هنا السورس للملف الثاني واللي رح ياخذ صلاحيات الادمن
عشان يقدر يعمل كمبايل للملف الثالث
"بالاخير بعد حقن البايتات رح يكون معك فقط فقط ملف واحد ياريت تفهمني" :15:






سورس ملف الmof انا عملته بامتداد dll مثل ماقال لنا الاخ بيبرس
فينك تسويه باي امتداد






لتحميل كل مايلزمك من هنا
بالاخير رح يخرج لك بس ملف واحد بعد كل الشغل
ومجرد مافتحه الضحية بس مرة واحدة
ورجع مسح الملف الاصلي والملفات اللي بالتيمب
لك ولو حتى محى لك سيرفرك من مجلد الويندوز او السستم
رح يرجع يعمل داونلودر ويتحمل ويشتغل سيرفرك
وبرجع بقول سيرفرك مش مثبت لابالريجييستري ولابالمهام المجدولة
ومش رح يظهر بقائمة العمليات بالتاسك منجر الخاصة بويندوز
Bashar Bachir | تحميل
هنا اداة بشعة :15: بتعطيك لينجث الملف "رح تحتاجها" بالمرفقات باسم dd
ولكن الثغرة تم ترقيعها الظاهر في ويندوز 10 ومازالت تعمل على الاصدارات السابقة
لذلك استعنت بموضوعي هنا
Bypass Windows Defender&UAC-Scheduled Tasks
وعملت تحقق لاصدار الويندوز ان كان 7 فينفذ التخطي القديم
وان كان 10 او غير ذلك يعني 8 و8.1 ينفذ التخطي الجديد
شوف الموضوع الاصلي بتفهم كل شي
بالفديو جربت على ويندوز 7 وويندوز 10 بنفس الوقت على نفس الملف
والملف شغال تمام التمام
عشان الويندوز 8 ماعندي احد يجرب ويخبرني بس انا نفذت عليه نفس التخطي الجديد
يعني عالاغلب شغال
وان مااشتغل القصة كلها محلولة بس بعكس الحلقة "يعني ماتاكلو هم محلولة"
وعالاغلب يشتغل تمام ..
سيرفرك مثبت ومش موجود ب الريجيستري ولابالمهام المجدولة ولاباي مكان
ومش رح يظهر بقائمة العمليات بالتاسك منجر الخاصة بويندوز
ولو الضحية حذف الملفات اللي بتنزل بالتمب وحذف الملف الاصلي اللي شغله
وراح على مجلد السستم او الويندوز محل منزل سيرفرك وحذفه
رح يرجع ينزل مرة ثانية بمجرد حصول الحدث اللي انت اخترته
مثلا انا اخترت تشغيل عملية explorer.exe
ممكن ان تخليه على userinit.exe
"هية اللي بتظهر لك سطح المكتب بعد بدء التشغيل"
او اي عملية بتريدها شوف موضوعي السابق بتفهم
السورس الجديد بالمرفقات
والفديوهات بالرابط هنا
https://drive.google.com/file/d/1kF8afBb5vpyXejhszeiOgIigLI1YRb6E/view?usp=sharing
 

المرفقات

  • أعجبني
التفاعلات: DON
الحالة
مغلق و غير مفتوح للمزيد من الردود.

إخلاء مسؤلية

  • المنتدى غير مسؤول عن أي اتفاق تجاري أو تعاوني بين الأعضاء كل شخص يحمل مسئولية نفسه إتجاه مايقوم به protection-tips غير مسؤول عن أي اتفاق تجاري أو تعاوني بين الأعضاء كل شخص يحمل مسئولية نفسه إتجاه مايقوم به من بيع وشراء وإتفاق وأعطاء معلومات موقعه التعليقات المنشورة لا تعبر عن رأي معهد المنتدى ولا نتحمل أي مسؤولية قانونية حيال ذلك (ويتحمل كاتبها مسؤولية النشر).).

الإنتقال السريع

User Menu

تابعنا على الفيسبوك