ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Статья первая, будете вы пинать или нет, меня абсолютно не волнует, так что вам полная свобода. Просто захотелось рассказать про метод взлома с множественной правкой hosts.

Просто я заметил что в сети каждый трой меняет хостс только один раз, то есть запустила жертва трой и все, больше она в почту не попадет пока не догадается очистить хостс. Это весьма неприятная процедура для взломщика, так как палится его выделенный айпи, да и база пополняется ненужными повторами паролей. Тогда и пришло в голову что мне нужен трой который меняет хостс столько раз, сколько мне нужно. Трой был написан (отдельное спасибо hacknick ) и полгода я от случая к случаю троем пользовался. Щас потребность давно отпала и решил скинуть его на паблик. Пусть пасется.


Трой состоит из двух частей
Основная часть:
hoster_bulder.exe - билдер
hoster.exe - сам пустой трой без настроек
helper.cab - файл настроек, создается билдером

командная часть (заливается на сервер для управления троем):
base.bsd - тут записывается база компов, зараженных троем
cmd - тут записываются команды для троя
hosts - сам файл хостс, на который мы и заменим файл hosts, находящийся на компе жертвы
log.txt - логи подключения троя к серверу за командами
killer.exe - убивает трой на машине жертвы, когда мы посчитаем, что он там больше не нужен

Итак начнем, для начала берем hosts и прописываем в нем свой айпи и домен
1.1.1.1 mail.ru

Далее заливаем на сервер с выделенным айпи командную часть файлов (base.bsd, cmd, hosts, log.txt, killer.exe ), например в папку hoster и в итоге наша командная часть находится по следующему адресу http://site.ru/hoster/

На короткое время мы закончили с командной частью, позже вернемся к ней еще, но щас мы будем настраивать трой.

Открываем hoster_bulder.exe и видим следующее окно



FTP address:- указываем полный фтп путь до папки hoster/ где у нас лежит файл cmd
User:- указываем логин
Password: - указываем фтп пароль (у некоторых фтп пароль и пароль в админку разные)
E-mail: - указываем почту человека, которому мы собираемся трой всучить, это будет идентификатор(имя) троя, например siski@mail.ru


Нажимаем Configure и билдер создает файл настроек троя helper.cab

Далее выделяем мышкой helper.cab и hoster.exe , выбираем Добавить в архив



1. вкладка Общее - ставим галочку на пункт Создать SFX архив
2. вкладка Дополнительно - нажимаем на Параметры SFX



В открывшемся окне настраиваем следующие параметры:
1. вкладка Общее - в поле Выполнить после распаковки указываем hoster.exe
2. вкладка Режимы - ставим галочку в Скрыть все
3. вкладка Текст и графика - выбираем Загрузить значок из файла, берем отсюда иконки и выбираем иконку для нашего троя.

Нажимаем дважды Ок. Трой готов.

Далее идем на сервер и в файле cmd прописываем следующую команду
Эту команду трой выполнит, как только будет запущен. То есть он возьмет hosts с нашего сервера и закачает его жертве в папку C:\WINDOWS\system32\drivers\etc\ заменив тот, который находится там.

Теперь создаем на сервере в папке hoster следующий файл change.php cо следующим содержимым
и проставляем файлу cmd права 777

Закачиваем фейк на сервер и прописываем в теле фейка следующий фрейм
То есть как только жертва запустит трой. он выполнит команду из файла cmd и сменит hosts. Как только мы увидим что команда выполнена (файл cmd будет пустым, а в log.txt будет время последнего подключения троя к серверу), мы очищаем hosts на сервере от нашего айпи и идем спать.

Жертва набирает майл.ру например и попадает на наш фейк в котором мы прописали фрейм
Фрейм запустится и запишет для троя команду в cmd снова сменить hosts, но уже на наш очищенный от айпишников. Время выполнения троем команды 6 минут. Этого времени достаточно чтоб жертва ввела на нашем фейке свой пароль. Через 6 минут hosts сменится на чистый и жертва как обычно будет юзать майл.ру и hosts будет чистым.

Если вы решили убить трой на машине жертвы, то прописываем в cmd следующую команду:

Надеюсь все изложил понятно. Cтатья первая. На днях будет еще одна по взлому почты на www.pochta.ru с использованием баги на сайте.
Cкачать весь архив можно тут (пароль: antichat.ru)
или тут (пароль: antichat)

Надеюсь хоть для кого то статья будет полезна.
Что непонятно, спрашивайте.

С уважением Satana-fu.