• STATISTIQUES
  • Il y a eu un total de 0 membres et 33341 visiteurs sur le site dans les dernières 24h pour un total de 33 341 personnes!
    Membres: 2 605
    Discussions: 3 579
    Messages: 32 816
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [EN] Bright Shadows
    JavaScript: 13, Exploit: 27, Crypto: 69, CrackIt: 52, Stegano: 67, Flash: 3, Programming: 16, Java-Applet: 10, Logic: 20...
    Challenges
    [FR] Secuser
    Actualité de la sécurité informatique, fiches virus et hoax, alertes par email, antivirus gratui...
    Hacking
    [EN] HackQuest
    Logic: 12, JavaScript: 14, Applet: 6, CrackIt: 13, Crypto: 11, Internet: 3, Exploit: 7, Stegano: 12, Flash: 1, Programmi...
    Challenges
    [EN] Framework Metasploit
    Le Framework Metasploit est un logiciel gratuit, open source de tests de pénétration développ&ea...
    Vulnérabilités
    [FR] Asp-php
    Tutoriaux sur ASP, PHP, ASP.net, XML, SQL, Javascript, HTML, VML - Scripts et ressources pour webmasters - Forums d&#...
    Programmation
    [FR] apprendre-a-manipuler
    Site d'apprentissage de la manipulation d'autrui.
    Hacking
    [FR] Hackfest
    Le Hackfest est un évènement de sécurité et de piratage informatique au Québec reg...
    Hacking

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!




Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
[OUNED] Partage de binaires
07-07-2014, 16h14
Message : #1
Junky Hors ligne
Snorky Master
*



Messages : 228
Sujets : 35
Points: 203
Inscription : Mar 2013
[OUNED] Partage de binaires
Bonjour,

BOn bah voila ce qui devait arriver arriva. Je viens de me faire retourner mon serveur. Je m'en suis rendu car d'un seul coup un seul j'avais des lags vraiment énorme sur la machine. En cherchant un (avec gruik) et quelques commandes plus tard, mon user guest était la faille.

C'est un user dont je me sers pour les personnes qui désirent uploader des fichiers sur mon serveur. Généralement celui-ci et up le tps de l'upload et je le désactive ensuite. La dernière fois que je m'en suis servi, c'était pour échanger un fichier avec ark. Normalement ce user a le tag suivant dans dans le /etc/passwd:
Code :
guest:*:XXXX:XXXX:,,,:/home/guest:/bin/bash

Et lorsque je désirs qu'une personne puisse s'en servir, je remplace '*' par un 'x' et fourni le passwd.

Bref une fois l'upload terminé avec ark, j'ai totalement oublié de désactiver le user. Et bien sur celui a un mot de passe du style:

Code :
azerty
password
...


Bref j'ai fais mon noob et j'en ai payé les frais. J'ai donc bloqué le pool d'ip (chinoise étonant n'est ce pas).

Malgrès tout j'ai un petit cadeau pour nos amis les reverses de fou.. Smile

En fouillant un peu mon serv, dans le /tmp voici ce que j'ai pu trouver:

Code :
junky:/tmp# ls -l
total 180
-rwxrwxrwx 1 guest guest 39405 juil.  1 04:22 ktx-arm-nodns
-rwxrwxrwx 1 guest guest 94827 juil.  1 04:23 ktx-i686-nodns
-rwxrwxrwx 1 guest guest 38503 juil.  1 04:23 ktx-x64-nodns

Donc a vos IDA, et go reverse tt le bordel les gens ... Smile

Dispo ici

Si des gens motivés pouvait faire un topic une fois les binaires reverses, ce serait super cool.

Junky,
Pour la sécurité, sous linux, le principal soucis est l'interface chaise/clavier

+1 (2) -1 (0) Répondre
07-07-2014, 16h18
Message : #2
ark Hors ligne
Psyckomodo!
*****



Messages : 1,033
Sujets : 48
Points: 317
Inscription : Sep 2011
RE: [OUNED] Partage de binaires
Ahaha génial Big Grin

Thx pour le partage mec!

En tout cas ils ont frappé vite hein, parce que c'était il y a pas si longtemps notre échange de binaire :p
+1 (0) -1 (0) Répondre
07-07-2014, 16h19
Message : #3
Junky Hors ligne
Snorky Master
*



Messages : 228
Sujets : 35
Points: 203
Inscription : Mar 2013
RE: [OUNED] Partage de binaires
Le premier juillet ... :/

Le jour de l'upload des files.
Pour la sécurité, sous linux, le principal soucis est l'interface chaise/clavier

+1 (0) -1 (0) Répondre
07-07-2014, 16h53
Message : #4
notfound Hors ligne
#!/usr/bin/env bash
*



Messages : 687
Sujets : 47
Points: 271
Inscription : Sep 2012
RE: [OUNED] Partage de binaires
Pourquoi tu as mis un passwd weak comme ça ? Mettre un passwd strong ça revenait au même non ?
+1 (0) -1 (0) Répondre
07-07-2014, 16h55
Message : #5
Junky Hors ligne
Snorky Master
*



Messages : 228
Sujets : 35
Points: 203
Inscription : Mar 2013
RE: [OUNED] Partage de binaires
Non mais clairement,

Juste j'ai fais mon noob!!! Et j'ai payé.... Smile
Pour la sécurité, sous linux, le principal soucis est l'interface chaise/clavier

+1 (0) -1 (0) Répondre
07-07-2014, 18h21
Message : #6
Yttrium Hors ligne
Membre actif
*



Messages : 106
Sujets : 14
Points: 48
Inscription : Jul 2012
RE: [OUNED] Partage de binaires
Quelques question, tu aurais pas ces fichiers ?
"
/etc/rc.d/rc.local
/etc/rc.conf
"

et sinon apparemment, c'est du botnet gérer par irc IP : 5.175.146.168
BufferoverfloW

Всё минется, одна правда останется
+1 (0) -1 (0) Répondre
07-07-2014, 18h40
Message : #7
supersnail Hors ligne
Éleveur d'ornithorynques
*******



Messages : 1,609
Sujets : 71
Points: 465
Inscription : Jan 2012
RE: [OUNED] Partage de binaires
Hum vais jeter un oeil (maintenant que j'ai fini de me battre avec mon js tout moche :>).

J'essaierai ptet de pondre un rapport un peu détaillé, en tout cas ça me permettera de me remettre au sport Smile
Mon blog

Code :
push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp

"VIM est merveilleux" © supersnail
+1 (0) -1 (0) Répondre
07-07-2014, 19h08
Message : #8
ark Hors ligne
Psyckomodo!
*****



Messages : 1,033
Sujets : 48
Points: 317
Inscription : Sep 2011
RE: [OUNED] Partage de binaires
(07-07-2014, 18h21)Yttrium a écrit : et sinon apparemment, c'est du botnet gérer par irc IP : 5.175.146.168

Plus precisement, sur ce serveur on retrouve un serveur IRC, qui sert de C&C. (ports 443 et 80, probablement pour bypasse des firewalls)

Et il se connecterais sur le channel #ktx. voilou, maintenant, je vais aller reverse ce truc de maniere plus pousse =)
+1 (0) -1 (0) Répondre
07-07-2014, 19h36 (Modification du message : 07-07-2014, 19h41 par supersnail.)
Message : #9
supersnail Hors ligne
Éleveur d'ornithorynques
*******



Messages : 1,609
Sujets : 71
Points: 465
Inscription : Jan 2012
RE: [OUNED] Partage de binaires
Bon au final, le malware sert juste à lancer des attaques de DDoS et download des fichiers depuis le web, le tout depuis un chan IRC ( #ktx ) sur le serveur mentionné par Yttrium, donc pas grand-chose d'intéressant techniquement à part des routines de parsing de commandes IRC de 3km de long en C et du garbage généré par cygwin (oui le truc a été compilé avec cygwin et c'est donc un PE qui a été balancé sur la bécane, ça montre bien le lvl des skids).

Après j'ai pas bien regardé mais il semblerait que y'ait pas d'authentification à part pour kill les bots donc si vous voulez f**tre le bins, let's go :>

Bref y'a pas assez de stuff pour faire un topic là-dessus imo.

Edit: c'est juste la version x86 qu'est du PE (suite à une rectification sur IRC)
Mon blog

Code :
push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp

"VIM est merveilleux" © supersnail
+1 (0) -1 (0) Répondre
07-07-2014, 22h25
Message : #10
thxer Hors ligne
:(){ :|:& };:
*



Messages : 382
Sujets : 60
Points: 162
Inscription : Feb 2013
RE: [OUNED] Partage de binaires
Excellent les gars, pas le temps de participer mais funky à lire Wink
Thxer.com
Twitter Thxer_

Code BASH :
echo "JkZ Palx" | sed 'y/lPZaJxk/MG3@tEH/'




+1 (0) -1 (0) Répondre
07-07-2014, 22h27
Message : #11
notfound Hors ligne
#!/usr/bin/env bash
*



Messages : 687
Sujets : 47
Points: 271
Inscription : Sep 2012
RE: [OUNED] Partage de binaires
Bouarf, en faisant un strings, t'arriveras à la même conclusion. Rien de bien fou Smile
+1 (0) -1 (0) Répondre


Atteindre :


Utilisateur(s) parcourant ce sujet : 1 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut