Stegospoit - Это весело!
Добавлено: 08 авг 2016, 00:29
http://wiki.kvkozyrev.org/fheroes/sploit/test.html
Форум - Green Dragon
Знание есть сила, сила есть знание.
https://t800.kvkozyrev.org/forum/
Stegospoit - Это весело!
Страница 1 из 2
Добавлено: 08 авг 2016, 00:29Re: Stagespoit - Это весело!
Добавлено: 08 авг 2016, 02:12Re: Stagespoit - Это весело!
Добавлено: 10 авг 2016, 09:47Вот собрал скрипт чтобы подписывать изображения
Запускать надо так
И тогда получатся вот такое изображение
Которое нормально вставляется куда угодно Но если открыть его в полном размере
Открыть изображение в полном размере
Для просмотра или сохранения будет предупреждение с подписью.
stegosploit.zip- (2.58 КБ) Скачиваний: 320
Запускать надо так
- Код: Выделить всё
python2 sign.py -i in.png -p sign.html -o out.png
И тогда получатся вот такое изображение
Которое нормально вставляется куда угодно Но если открыть его в полном размере
Открыть изображение в полном размере
Для просмотра или сохранения будет предупреждение с подписью.
Re: Stagespoit - Это весело!
Добавлено: 10 авг 2016, 09:52Вообще это Самуил Шах очень веселый. Прямо как Шерлок Холмс.
Он взял и свой Stegosploit Toolkit v0.2 запакавал в картинку и добавил ее в PDF файл
Я закачал этот его PDF попробовал извлечь вложенные файлы PDF командой
Но никаких вложения не извлеклись и поэтому я стал искать другой скрипт и нашел скрипт от Бхарадвая Мачирая и на нем сделал сборку для подписи картиное.
А теперь даже интересно а как извлечь из PDF этот Stegosploit Toolkit v0.2 Самуила Шаха (хотя он мне не нужен потому что у меня уже есть скрип от который все что мне надо делает, в JPG-и мне не нужны) но все равно интересно
как же его надо извлекать.
Он взял и свой Stegosploit Toolkit v0.2 запакавал в картинку и добавил ее в PDF файл
The Stegosploit Toolkit v0.2, released in Issue [url="https://www.alchemistowl.org/pocorgtfo/pocorgtfo08.pdf"]0x08 of Poc||GTFO[/url], contains the tools necessary to test image based exploit delivery. The toolkit is distributed as a PNG polyglot within the PoC||GTFO PDF, which is also a polyglot!
The PNG file - stegosploit_tool.png contains all the tools. For a simple demo, you can save it to the local desktop, rename it to HTML and open it in a browser. Clicking the lioness will trigger the decoder and it will extract the toolkit from the pixels and download it. For a complex demo, this PNG has to be uploaded somewhere, and techniques such as MIME type confusion or Content Sniffing have to be used to trick the browser into believing it is an HTML file.
Я закачал этот его PDF попробовал извлечь вложенные файлы PDF командой
- Код: Выделить всё
pdftk pocorgtfo08.pdf unpack_files
Но никаких вложения не извлеклись и поэтому я стал искать другой скрипт и нашел скрипт от Бхарадвая Мачирая и на нем сделал сборку для подписи картиное.
А теперь даже интересно а как извлечь из PDF этот Stegosploit Toolkit v0.2 Самуила Шаха (хотя он мне не нужен потому что у меня уже есть скрип от который все что мне надо делает, в JPG-и мне не нужны) но все равно интересно
как же его надо извлекать.
Re: Stagespoit - Это весело!
Добавлено: 10 авг 2016, 09:53Я попробовал извлечь картинки командой
Она мне извлекла штук сто всяких картинок и среди них картинку толстого кота (может это и есть львица)
но сколько я ее не переименовывал в HTML и не кликал на кота ничего не никуда не извлеклось :(
Вот она эта картинка с котом.
- Код: Выделить всё
pdfimages pocorgtfo08.pdf output
Она мне извлекла штук сто всяких картинок и среди них картинку толстого кота (может это и есть львица)
но сколько я ее не переименовывал в HTML и не кликал на кота ничего не никуда не извлеклось :(
Вот она эта картинка с котом.