Firewall Leaks

HackForum

Firewall Leaks#
Ahoj,

nakodil sem si keyloger (v Delphi), ktery umi i hodne dalsich veci a bezproblemu dokaze komunikovat ze serverem. Celej kod mam uz pekne odladen a ted chci udelat nejakou unitu, ktera bude obchazet firewall-y.

Nejlepsi by bylo zvolit nejakou univarzalni metodu, ktera by fungovala pro vecsinu firewallu a pak pro ostatne firewally dodelat specialni kod.

Nechal sem se inspirovat strankou [link] a jako univerzalni metodu chci pouzit WallBreaker, ktera je podle mne nejednoduchsi a div se svete i nejucinejsi . Chtel bych se zeptat, ci pomoci teto metody ide odeslat i soubor. Text neni problem, ale jde iba urcity pocet znaku tusim 256.

Tato metoda je v jednoduchosti popsana i zde [link]

Dalsi moznost je, ze si sam povolim ve firewally porty, napr. u Windows Firewallu to neni vubec probelm, jde to i u sygateu(zatim sem to iba cetl, ale nerucim zato), ale problem by byl s Keriem a Outpostem. Ostane firewally su menej pouzivane.

Chtel bych vedet, jake su alternativy a ci jde pomoci WallBreaker metody odeslat i cely soubor.
(odpovědět)
karcinom | 213.192.63.*24.3.2007 18:33
re: Firewall Leaks#
napada me moznost posilat soubory po 256 bajtech. Proste to odesle jednu zpravu:
FILE <jmeno souboru> <velikost souboru> <MD5 hash>
a potom posila samotnej soubor. Muzes overit pravost souboru a vis jak se jmenuje. No a ani jsem nemusel cist ty philez.
Good luck, boyz
(odpovědět)
Wasekk | E-mail24.3.2007 22:26
re: Firewall Leaks#
Tak nad tymto resenim sem uvazoval, ale velice rychle semho zavrhel a to z nasledujicich duvodu.

Dejme tomu ze soubor bude mnet 0.5MB(pri teto velikosti souboru mam nastavene odesilani).
0.5MB sem schopny spakovat na dejme tomu 30kB.
Pri teto velikosti by se muselo odeslat 120 retezcu, z kterych by sem musel poskladat soubor a ten pak rozpakovat a to je uplna blbost. Protoze staci kdyz bude jeden retezec poskozen a je to vhaji a to proto lebo nemam jak keyloggeru oznamit, ci retezec na server dorazil v poradku alebo poskozen.
Proto potrebuji odeslat vcelku jeden soubor a tym odpada, skur bych rekl ze se minimalizuje tento problem.

A ani nevym jak by sem to resil na programove urovni, podle mne bych musel 120krat spustit a zavrit iexplorer.exe(???????), ale mozna by se to dalo i tak, ze by sem kopiroval retezec do radku pro adresu a nasimuloval enter.

Toto reseni skratka nepripada v uvahu.
(odpovědět)
karcinom | 213.192.63.*24.3.2007 23:40
re: Firewall Leaks#
Je firewall vázán na konkrótní program?
Pokud ano, musel byl to opravdu posílat přes IE (co ho nechat běžet na pozadí? Ušetříš spouštění a ukončování).
Jinak si definuj ten protokol pořádně - veškerá komunikace po síti probíhá v paketech, tak proč by to nefungovalo tobě?
Blok dat může obsahovat hlavičku - zda jde o nějaká povelová data, nebo obsah souboru, v tom případě identifikace souboru (jméno, příp. hash) a identifikace paketu (kolikátý blok z kolika), vlastní data a následné CRC nebo xorsum - pokud po přenosu nesouhlasí, přenesl se paket špatně a prostě si ho vyžádám znovu (vím, který to byl).
Odeslání 120 paketů je pak sranda. Stačí vědět, z kolika se bude soubor skládat, jeden po druhém si je vyžádat a při chybě přenosu si vyžádat chybný paket znovu.
Kdyžtak se podívej na už existující protokoly pro přenos souborů - nejlepší na učení je asi Kermit.
(odpovědět)
guguma | 195.113.79.10/10.0.10.*26.3.2007 23:27
re: Firewall Leaks#
>Je firewall vázán na konkrótní program?
nechapu.

>co ho nechat běžet na pozadí?
Zalezi od toho, ci budu schopen ziskat handle na edit pro adresu(v iexploreri), ale myslim ze to nebude az taky problem. Prave ide oto, ze sem to jeste neskousel.

> pokud po přenosu nesouhlasí, přenesl se paket špatně a prostě si ho vyžádám znovu (vím, který to byl).
No a to je ten problem, jak si ho znovu vyzadam, kdzy objet bude napr. za OutPost Firewallem ? Preci ide oto, ze ja si nedokazi v OutPost povolit port, tak se to snazim odeslat pres iexplore.exe, ktery je 100% povolen. Ale kdyz se mi to podari odeslat, nemam jak spetne spetne oznamit, ze data dorazila v poradku.

Jinak, nad TCP/IP mam svuj vlastni protokol uz nakodeny, ale tato komunikace jde vyuzit iba kdyz na kompe obeti neni zadny firewall, alebo tam je windows firewall(v nem si muzu povolit porty nejak takto - netsh firewall set portopening TCP mujport mujprog).

Pro sitovou komunikaci vyuzivam Gebyho unity Synapse.
Kdyz pisu hluposti tak mne oprav.
(odpovědět)
karcinom | 213.192.63.*27.3.2007 1:17
re: Firewall Leaks#
jak bylo napsano v jednom clanku na S00M.cz, pokud zadas do iexplore adresu, stahne jeji obsah... takze si muzes zjisti nejakym skriptem, jestli tam neni chyba...
(odpovědět)
Wasekk | E-mail27.3.2007 8:33
re: Firewall Leaks#
Jezis ja sem debiiiiiil. Vsak je uplne jasne, ze kdyz neco odeslu tymto spusobem, tak muzu naspet neco odeslat. Vzdyz tak vlastne prohliceni stranek funguje. :D Hosi nakopat mne. Ja nechapu jak mne to nemoholo napadnut. No hlavne to budu muset skusit :).

(odpovědět)
karcinom | 213.192.63.*27.3.2007 11:19
re: Firewall Leaks#
nebo taky velmi dobrej zpusob je ICMP/IP. pokud si trochu pohrajete, tak mate obousmerny pripojeni a spousta FW to v defaultnim nastaveni nedetekuje :-) a resit by to slo dal, treba prihodit sifrovani twofishem, aby nezachytil nic sniffer:-) mame na vyber:-)
(odpovědět)
Wasekk | E-mail27.3.2007 12:24
re: Firewall Leaks#
Toto mne tez napadlo, skratka posilat data cez icmp, paket by se klidne muhel tvarit jak icmp echo request na odeslani dat(od obeti) a icmp echo reply(na prijimani dat na kompe obeti). Takto to ma povovleni snad kazdy firewall natrhu. Tak isto icmp redirect.
Ale treba to odskousen, nevim kolik bajtu muzu natlacit do takeho icmp paket, atd., ale to nebude problem.
A s kriptovanim by nebyl tak isto problem, na kryptovani pouzivam unity dcpcrypt od Davida Bartona, ale oto ted nejde - jinak cool napad :).
(odpovědět)
karcinom | 213.192.63.*27.3.2007 13:25
re: Firewall Leaks#
karcinom: Koukni se pořádně na projekt IEwebDOOR. Je to v něm řešeno zakódováním souboru do base64 a následným vložením do textarea formuláře a jeho odesláním. Velikost může být klidně kolem 1MB.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP27.3.2007 12:35
re: Firewall Leaks#
> Koukni se pořádně na projekt IEwebDOOR.
Supeeer, taketo neco sem potreboval. Diky.

TEd to jen vse vyskouset.

Kluci diky za tipy, kdyz mate jeste nejake zajimave navrhi klidne to sem nalepte, staci link, nakop alebo iba napad na par radku, s ostatnim si ja uz nejak poradim :).
(odpovědět)
karcinom | 213.192.63.*27.3.2007 13:39

Zpět
 
 
 

 
BBCode