SweRAT > mp3 + exe i hex workshop

SweRAT > Datasäkerhet > Projekt och Releaser

TimBo0oLinA

2007-08-12 11:02

Tjena läste lite på FB om man de skulle gå att ta en mp3 fil och öppna den i Hex Workshop och lägga in min server.exe i mp3n men efter jag gjort de och testar att öppna låten så hoppar den typ 1/3 in i låten och sen börjar spelat, hur får jag mp3n att "exekverba?" exen jag lagt in ?

kanske förklarar dåligt men va fan, kan klistra in de han snubben skrev så kanske ni förstår bättre..

QUOTE(OnY)

för det första kan vi reda ut lite begrepp som folk ständigt frågar om..

"en bildfil tex .jpg", nej det är inte en bildfil bara för att den har .jpg som filändelse, den kunde lika gärna kunnat heta .kuk och varit en "äkta" .pdf fil som gått att öppna i adobe reader. däremot kan du ha en "äkta" .jpg fil som du lagt exekverbar kod i.. som du via annan applikation läser från viss offset i filen eller där du då lagt denna data. förklaring under.

kan man köra data från en bildfil? nej inte i normala fall, men ja. skriv ett program som exekverar filen istället för att läsa datan i den eller googla på att windows ska behandla .jpg som tex körbara filer.

detta var nog lite svar till er båda.. och till alla er andra också som rör ihop filändelser med filtyper och vise verca..

ta tex en headern från en .mp3 låt.. fyll resten med musik, junkdata eller programkod.. vips.. där har du en sådan fil

ett tips på sådant program är hex workshop

Någon som förstår sig på det ? eller någon som har en bra guide till Hex Workshop ??

Rude

2007-08-12 11:14

mp3 är inte ett exekverbart format!
Det du kan göra är att hitta en bugg i en mediaspelare t.ex. windows media player eller winamp som då tillåter dig att exekvera annan kod i dina mp3or.
kolla på www.milw0rm.com för publika exploits.

TimBo0oLinA

2007-08-12 11:58

QUOTE(Rude @ 2007-08-12 12:14)

jaha okey ! vad för format är exekverbar då ? jpg / jpeg ?

Seduct

2007-08-12 12:32

.exe .scr .pif osv.

för att exekvera annan kod i .jpg måste du hitta ett hål, precis som Rude sa. Finns några hål för photoshop som funkar bra har jag för mig, kolla milw0rm

TimBo0oLinA

2007-08-12 12:42

haha ok! Men jag förstår inte ett skit av allt de där

CODE

x56\xac\x58\xb1\

vad är meningen man ska göra med det ?

LJB

2007-08-12 13:03

QUOTE(TimBo0oLinA @ 2007-08-12 13:42)

haha ok! Men jag förstår inte ett skit av allt de där

CODE

x56\xac\x58\xb1\

vad är meningen man ska göra med det ?

Det är väl en bit av en shellcode?
du ska bara kopiera hela kitet och kompilera exploiten i någon C kompilator. Om du menar den här? http://milw0rm.com/exploits/3812

Rude

2007-08-12 14:29

läs på lite om exploits före är mitt tips, du hittar massormed papers på internet om olika sorters sploits.

TimBo0oLinA

2007-08-13 03:32

ok men då lägger vi ner mp3 och går vidare på jpg/jpeg, snubblade över denna för en liten stund sen, verkar vara jävligt intressant

QUOTE

The way Windows executes EXE files is stored inside the registry.
The way it executes JPG files is stored there too.
This means that you need to make windows think a JPG file is an EXE file. But we cant do that without hurting the OS's configuration or risk that any future changes made by programs will set JPG back to its default registry value.
What we need to do is create a file that will look like its a JPG (not be the icon, but by the type) and will act like an EXE. but a jpg icon can still be applied also.
example:

CODE

"file.jpg "

notice the space after the ".jpg". This is no ordianry space, but a special char that for writing it, you need to do as follows:
Get the EXE you want to convert to "jpg".
rename it from "file.exe" to "file.jpg". Now press the rename again, and in the end of the .jpg, press the ALT key (dont let go of it) and on the keypad, type

CODE

"0160"

this will look like this: "file.jpg ". you can now rename it to something like "my pic.jpg "
Go to:

CODE

Start -> Run -> RegEdit
Right click on the HKEY_CLASSES_ROOT key and New -> Key

Call it ".jpg " (the space represants the ALT+0160)
Inside it, you will find the (Default) string.
Double click on it and write "exefile".
Then right click anywhere but on the Default string and New -> String Value Call it "Content Type". and edit it so it will say "application/x-msdownload".
Right click on the ".jpg " key and New -> Key Call it "PersistentHandler".
Inside it, edit the Default string to

CODE

"{098f2470-bae0-11cd-b579-08002b30bfeb}"

Now every EXE file that will have the ".jpg " type, will be executed like a regular EXE! But only on your computer.
Right click on the ".jpg " key and Export.
Call it something like "fix.reg" and tell the användare you're sending the "picture" to that its a fix so that windows will be able to open your pic or use your imagination or hide it inside another trusted program.
I recommand using an EXE joiner to join a real pic to an EXE file so the user wont suspect anything.

Vad tycker ni om detta ? det verkar ju vara en variant på vad jag vill göra,
en annan fråga innan jag blir galen, vart f*n får jag tag på Jpg ikonen ?? har letat som en vet inte vad, men hittar inte den någonstans..

Rude

2007-08-13 09:18

Ja som du ser så ändrar den i registret så att alla .jpg startas som exe. Sen hur du ska få någon att köra en .reg fil och sedan en bild utan att det ska verka misstänkt det är en annan sak..

jpeg ikonen ligger i en dll vilken jag totalt glömt namnet på.

Retard

2007-08-13 09:44

QUOTE(TimBo0oLinA @ 2007-08-13 04:32)

Vad tycker ni om detta ? det verkar ju vara en variant på vad jag vill göra,

Det där lät ganska roligt.
Måste pilla lite med det där sen och leka i registret.
Man behöver ju nödvändigtvis inte spara det som .reg om man vet att användaren är lite misstänksam av sig.
Sitter man och programmerar och planerar att visa ett (oskyldigt) program man gjort kan man lägga in en kodsnutt som ändrar det där i registret.
Ifall man skulle behöva det i framtiden.

crazyboris

2007-08-13 09:51

om du kollar i min signatur så ligger det en länk till iconer där...
där finns jpeg iconen bla.

Codius

2007-08-13 11:20

Jag har postat path till jpg ikonen i "Luras med Genvägar" tråden, ta en titt där

TimBo0oLinA

2007-08-13 17:25

Tack Crazyboris och Codius

Men du Crazy, jag valde no-ip ikonen och la till den i PI innan jag tryckte build, fungerade hur bra som helst tills jag skulle testa det, jag packade den med rar och skickade den till min systers pojkvän (med hans tillåtelse såklart) men när han packade upp den så var det den vanliga ikonen som de blir i vanliga fall, hur kommer detta sig ?

crazyboris

2007-08-13 19:36

antar att din server INTE är ud..
då blir det så ibland när vissa brandväggar och virusprogram lägger sej i..

Underminder

2009-01-19 21:26

QUOTE(TimBo0oLinA @ 2007-08-13 03:32)

ok men då lägger vi ner mp3 och går vidare på jpg/jpeg, snubblade över denna för en liten stund sen, verkar vara jävligt intressant
Vad tycker ni om detta ? det verkar ju vara en variant på vad jag vill göra,
en annan fråga innan jag blir galen, vart f*n får jag tag på Jpg ikonen ?? har letat som en vet inte vad, men hittar inte den någonstans..

Jag har en liten fråga! Jag går in på den här datorn, tar verktyg - mappar - visning - o avkryssar dölj filnamnstillägg för kända filtyper.

Sen skriver jag file.jpg (och då ändras filen till jpeg fil).

Men sen när ja lägger till den krumiluren i slutet "jpg ", så blir den oläs bar och går inte att öppna. Vad ska ja göra?

crazyboris

2009-01-20 18:05

en jpg fil är inte körbar på samma sätt som en exe fil.
så det funkar inte att göra så , vill du byta ikon så gör det när du bygger din server eller efteråt via resource hacker.

Underminder

2009-01-21 14:44

QUOTE(crazyboris @ 2009-01-20 18:05)

en jpg fil är inte körbar på samma sätt som en exe fil.
så det funkar inte att göra så , vill du byta ikon så gör det när du bygger din server eller efteråt via resource hacker.

Nä, men det står ju så i texten? Jag trodde man skulle döpa den så, och sedan fixa det andra så att den fungerade som en vanlig exe fil, fast den hette "jpg ".

Har jag fel? Du får gärna rätta mej, för isåfall har jag förstått hela den övre guiden fel ...

crazyboris

2009-01-21 16:22

jo det är klart men då måste du ju som sagt var få han till att först köra din "regfix" och sen din fil.
är nog inte många som vill göra det.

This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.