Перейти к содержанию

w1rehats

Пользователь
  • Публикаций

    10
  • Зарегистрирован

  • Посещение

Репутация

6 Neutral

Информация о w1rehats

  • Звание
    Rank №2
  1. ОООО лол, даже тут они) Какая-то очень масштабная атака говнософтом. Там в два этапа - кидается документ pdf с ссылкой на линк по линку архив, внутри JS. JS грузит рансомник и поехало Насчет домена - нет смысла проверять, челы ломают wp сайты вполне себе обычные и туда льют свое говно. Ибо таких писем десятки, если не сотни Напиши в Касперский, если мне память не изменяет, они там с таким достаточно неплохо справляются
  2. Единомышленников ищу((

    Всем привет. сам учусь только и работаю. Стала очень интересна тема сплоит дева, до этого просто реверсил что под руку попадалось. CVE и репортов на Lin / Win в наличии не имею, блэкхэты не шатал, короче можно сказать что нулевой. Работа моя меня заебала, хоть это и ИБ контора но там слишком все рутинно и бюрократично. Аж тошнит от того что люди занимаются херней и имея крутые мозги превращаются в офисный планктон. Может здесь есть кто кому нужен кодер-бомж за опыт и мизерные деньги? Или просто собутыльники / готовые пообщаться на такие темы и дать пару советов. Веллком ту ЛС короче
  3. Добрый вечер. Пишу мини-чудо-юдо-прогу, очень нужен совет. Создаю процесс ф-й createprocess, после чего получаю определенные данные и пересылаю их другой программе (на том же компьтере) Собственно проблема - как передать дескрипторы открытого процесса что использовать API уже во второй программе? Я знаю, что число в хэндлах pProcessInfo->hThread & pProcessInfo -> hProcess ничего не значит вне этого процесса. Тогда каким образом без форка в windows осуществить подобный обмен? Доступа к коду открываемого процесса нет, доступа к ядру тоже. Заранее благодарен за конструктивные ответы =)
  4. Минимальный шеллкод

    ТС решил поиграться с шеллкодами, написал уязвимую приложуху и столкнулся с проблемой: стек очень маленького размера (конкретно - 125 байт). Egg-hunt не вариант, лишние данные в памяти никак не найти, их там нет просто. стандартный шк вроде запуска калькуляторов и msgbox уже не впечатляет Собственно вопрос: реально ли в пространстве 125 байт локально проделать дыру для большого стейджа? Я вижу это например так: аллокнуть память, читать файл со смещения (предполагается что второй стейдж тоже лежит в файле, который кормится программе), копировать байты циклически до метки-конца стейджа и делать туда джамп Но насколько я понял в 125 байт такой кусок никак не влезет. Статические адреса - тоже лажа, это моветон 2000х годов Какие могут быть варианты? P.S. download/exec не подходит ибо доступа к внешнему миру у машины нет
  5. где-то залатали, где-то сделали новые. Тем не менее общий скилл коммьюнити должен повышаться параллельно с повышением качества защиты. Эволюция, так сказать =)
  6. Вопрос по инжектам

    Доброго времени суток. Недавно начал колупать разные методы внедрения кода в сторонний процесс. Пробовал разные техники, что-то показалось годнотой, что-то не совсем. Потихоньку приходит в голову мысль, что инжект как вид потихоньку вымирает, есть множество методов обойтись и без него, однако сейчас не о том. Сабж простыми словами - как скрыть инжект от бдительной проактивки антивирусов? Понятно, что от хука из км (не знаю, ставят ли ав сейчас юи хуки, наверное уже нет) всякими гетпрокадресами не спастись. Поведенческая сигнатура видит цепочку действий и на основании оной делает вывод опасно / безопасно. 1. В какую сторону смотреть для решения задачи? (технология, метода, не знаю как обозвать конкретнее) 2. Можно ли обойтись без "залезания" в r0? 3. как максимально извращенно можно вызвать api не обращаясь к ней явно? (не сокрытие из импорта, я не об этом) 4. А вообще реально ли? или сейчас получить фуд в рантайме для инжектора - задача невыполнимая и не стоит даже стараться? В общем-то все. За ответы (можно в лс, впринципе) большое спасибо заранее =)
  7. Модульный софт, каждый модуль тестишь отдельно на реакцию авера. Может достаточно сильно бустануть в плане понимания, на какой элемент идет сработка
  8. CVE-2018-0797 или Fortinet брешет?

    Решил покопать давно запатченую багу: CVE-2018-0797 Из инфо (что странно) нашел только это И что интересно, при всех возможных варициях с rtf-ом из статьи (и с ссылкой на верхний стиль и с несколькими stylesheet) краш ворда вызвать не удалось Что я делаю не так или может где не доглядел / не дочитал? При каких условиях получается краш, подскажите пжлст Спасибо=) P.S. Word 13го года, система - семерка. Версию библиотеки специально выкачал ДО патча.
  9. как оказалось связан: https://www.securitylab.ru/analytics/451934.php Мне нужно найти главную функцию которая отвечает за обработку .doc файлика. И собственно понять что она обрабатывает и как. Функция скорее всего огромная т.к. спецификация .doc в современной редакции >500 страничек а название полей там просто потрясающие. Я думал может есть какие-то паттерны чтобы ее можно было просто статически найти (или кто-то это уже сделал), чтобы не реверсить вдоли и поперек 20 метровый бинарь в поисках иголки Но видимо, придется колупать через дебаг word-а
×