DecrottePE compatible chinese style.

Bon tant que j’y était, histoire de plus perdre de temps avec certains packer à deux balles ou des dumps encrypté à la chinoise (Xor de base ou Xor shifté).

Voici une version de «decrottePE.py» qui bruteforce; C’est pas joli, mais ce qu’il y a trouver est pas non plus joli-joli !

Exemple , j’encrypte à la chinoise un PE avec un xor shifté et la clef 0x42 (évidemment la fameuse solution universelle).

Je cache mon PE xoré au millieu d’un champ de random.

Bon… c’est le plus chiant qu’il soit possible d’extraire avec ce truc, lançons le décrotteur et allons lire un livre.

Bingo… et le fichier est en état.

Amis du XOR, merci de passer a RC4…

 

Posted in Crypto, Malware, Reverse | Tagged , , | 1 Comment

La formidable librairie PEFILE

Petit focus sur la librairie python pefile (Dispo ICI ) créée par Ero Carrera. Cette librairie permet de parser un executable windows sans se fatiguer que celui-ci soit 64 ou 32 bits.

J’ai pondu deux minis scripts python avec cette librairie, le premier est un update d’un script déja vu ici, qui montre les sections et leur entropie nommé «peentro.py». Un peu à la virus total, mais chez soi et qui couine sur les trucs «chelous».

Le script est ici

Le second est un script de feignants nommé «decrottePE.py». Il extrait les executables PE depuis un dump. C’est toujours utile pour carver un executable depuis un dump mémoire volé dans un droppeur sans avoir a se fatiguer. L’executable est sauve à sa taille “normale” les overlay potentiels au cul de l’exe sont shootés.

le script est ici

Cette lib est décidément un bel objet.

 

Posted in Reverse | Tagged , , | 1 Comment

1er jour des soldes, -25% sur Charlie Hebdo

Non… Moi je trouve décidément ca très drôle leur petit dessins.

 

Mahomet

 

http://www.charliehebdo.fr/20150107171028368.pdf

Il ne fait décidément pas bon d’être copain avec Dorothée ces temps ci..

Posted in BlaBla | Leave a comment

Quick Tip… un clean desktop sur OSX

Marre de votre osx avec 58953 documents sur le bureau du mac… ?

C’était le conseil psycho-rigide de noel.

Posted in BlaBla | Tagged | 2 Comments

Le cap a été franchis…

Ca y est le premier exploit avec du bypass de EMET a été débusqué

http://researchcenter.paloaltonetworks.com/2014/11/addressing-cve-2014-6332-swf-exploit/

Ca reste du emet 4.1, ca bypass pas toutes les protections… Mais c’est partis ! :)

Posted in Malware, Reverse | Tagged , , | Leave a comment

CISCO goes ASLR !!

Whow… Cisco sur certain routeur tournerai “déja” de l’asrl !! Well done.

http://www.cisco.com/web/about/security/intelligence/integrity-assurance.html#_Toc385320754

Posted in Asm, Network | Tagged , | Leave a comment

Dumper les creds en mémoire discrètement.

Comment dumper les crédentials windows en mémoire sans faire couiner aucun antivirus. prérequis évidemment, admin local.

 

Etape 1, uploader procdump de m. Russinovich. Procdump est FUD car signé par microsoft :)

Etape 2, dumper le process lsass.exe

 étape 3, cleanup

 étape 4, Sur un tout autre ordinateur que vous contrôlez, sous windows et sans AV qui fait suer.

Attention de respecter la même archi ou tournera le mimikatz; séparez 32 et 64 Bits… et séparez 2K XP 2K3 de Vista, 7, 8 et2K8.

Note: Merci au Gentilkiwi pour sa relecture attentive :)

Posted in Pentest, Windows | Tagged , | 4 Comments

Bref rien de neuf sous le soleil!

image

Posted in BlaBla | Tagged | Leave a comment

6 ans de reflexions…

  1. Faire du «fiotte manche».
  2. Le Push tue.
  3. RSA 1024/AES 256, seul les cons savent pourquoi.
  4. 300sec. C’est 5mn !
  5. C’est vrai que c’est fort vulnérable.
  6. Don’t feed the Google.
  7. Too much is not enough.
  8. Les gens qui vont dans le cloud vont apprendre ce que c’est que la latence.
  9. C’est pas en les bloquants qu’on les arrêtera.
  10. Il n’y a pas de secrets, Il n’y a que de la conf.
  11. 1440Min c’est un jour.
  12. C’est chiant de tester tant qu’on n’est pas en prod.
  13. Log + 2h = Maintenant.
  14. Dans le cloud, finis les traces.
  15. SQLi by Design (c).
  16. Même si tu ne la met pas, elle ne sert à rien.
  17. En fait quand on les regarde on les voit tout le temps.
Posted in BlaBla | 1 Comment

Allez on s’amuse un peu…

Vas y berthier fait moi rêver…

Orange vs Deloitte.

https://www.youtube.com/watch?v=l_XOrcBxy-E
https://www.youtube.com/watch?v=6uGQeA3x0bs

N’hésitez pas a commenter vos meilleurs moments :)…

Moi perso c’est de DDoS tout seul avec loic sur une IP Privée monitorée par Tshark du Deloitte.

Posted in BlaBla | Tagged | 2 Comments