Mac Limit umgehen

dawd1dawy · 1. März 2015

Der Code von pushedx geht wohl nicht mehr... Sorry, aber ist ziemlich viel Aufwand.

florian0 · 1. März 2015

Das Ding von Drew ist zwar alt, aber nicht unbrauchbar (wie du gleich lernen wirst :D)

In den Packer einzubrechen war irgendwie einfacher als erwartet ... wagen wir einen Blick in die Strings ...

Code

Text strings referenced in PGNTorqu:.text
Address Disassembly Text string
709D10FF PUSH PGNTorqu.709D3180 ASCII "C:\"
709D1115 PUSH PGNTorqu.709D3184 ASCII "Vol Serial is 0x%X+ %d"
709D118C PUSH PGNTorqu.709D3180 ASCII "C:\"
709D11A2 PUSH PGNTorqu.709D3184 ASCII "Vol Serial is 0x%X+ %d"
709D1378 PUSH PGNTorqu.709D314C ASCII "%.2X "
709D1624 PUSH PGNTorqu.709D3158 ASCII "Toggle On: "
709D162B ADD ESP,4 (Initial CPU selection)
709D1638 PUSH PGNTorqu.709D314C ASCII "%.2X "
709D164F PUSH PGNTorqu.709D3164 ASCII "Toggle Off: "
709D1668 PUSH PGNTorqu.709D314C ASCII "%.2X "
709D1836 PUSH PGNTorqu.709D3174 ASCII "packet sent"
709D19B4 PUSH PGNTorqu.709D31A0 ASCII "vector<T> too long"
709D1A0A PUSH PGNTorqu.709D31A0 ASCII "vector<T> too long"
709D1A5E PUSH PGNTorqu.709D31A0 ASCII "vector<T> too long"
709D1BB0 ASCII "t ",0

Alles anzeigen

Toggle On, Toggle Off => "Client Based Packet Injection in Silkroad" - Drew, niemand sonst hätte das da hingeschrieben.

Und dann C:\ direkt gefolgt von Vol Serial is 0x%X+ %d

Code

709910D0 $ 55 PUSH EBP
709910D1 . 8BEC MOV EBP,ESP
709910D3 . 837D 0C 01 CMP DWORD PTR SS:[EBP+C],1
709910D7 . 75 59 JNZ SHORT PGNTorqu.70991132
709910D9 . E8 52010000 CALL PGNTorqu.70991230
709910DE . E8 8D030000 CALL PGNTorqu.70991470
709910E3 . 68 E8649970 PUSH PGNTorqu.709964E8
709910E8 . E8 CB9C0000 CALL PGNTorqu.7099ADB8
709910ED . 91 XCHG EAX,ECX
709910EE . 6A 00 PUSH 0
709910F0 . 6A 00 PUSH 0
709910F2 . 6A 00 PUSH 0
709910F4 . 6A 00 PUSH 0
709910F6 . 68 C4449970 PUSH PGNTorqu.709944C4 ; lpVolumeSerialNumber
709910FB . 6A 00 PUSH 0
709910FD . 6A 00 PUSH 0
709910FF . 68 80319970 PUSH PGNTorqu.70993180 ; ASCII "C:\" ; lpRootPathName
70991104 . 53 PUSH EBX
70991105 . E8 7E940000 CALL PGNTorqu.7099A588 ; GetVolumeInformation :P
7099110A . 85C0 TEST EAX,EAX
7099110C . 74 15 JE SHORT PGNTorqu.70991123
7099110E . A1 C4449970 MOV EAX,DWORD PTR DS:[709944C4]
70991113 . 50 PUSH EAX ; /<%d>
70991114 . 50 PUSH EAX ; |<%X>
70991115 . 68 84319970 PUSH PGNTorqu.70993184 ; |format = "Vol Serial is 0x%X+ %d"
7099111A . FF15 7C309970 CALL DWORD PTR DS:[7099307C] ; \printf
70991120 . 83C4 0C ADD ESP,0C
70991123 > 8B45 08 MOV EAX,DWORD PTR SS:[EBP+8]
70991126 . 50 PUSH EAX
70991127 . A3 C0449970 MOV DWORD PTR DS:[709944C0],EAX
7099112C . E8 FB970000 CALL PGNTorqu.7099A92C
70991131 2C DB 2C ; CHAR ','
70991132 . B8 01000000 MOV EAX,1
70991137 . 5D POP EBP
70991138 . C2 0C00 RETN 0C

Alles anzeigen

Bei mir stimmt die Zahlenkombination im Paket 0x6105 mit der Ausgabe dieses kleinen Programmes überein.

C

#include <Windows.h>
#include <stdio.h>
int main() {
DWORD serialNumber = 0;
if (GetVolumeInformation("C:\\", 0, 0, &serialNumber, 0, 0, 0, 0 ))
{
printf("Serial Number: %lu ( 0x%8X )\n", serialNumber, serialNumber);
}
getchar();
return 0;
}

Alles anzeigen

Ich geh jetzt schlafen, vielleicht will ja jemand tagsüber weiterbasteln ...

Gruß und gute Nacht
florian0

dawd1dawy · 1. März 2015

Ja nice! Wobei uns das nicht hilft Man muss das packet injected bekommen. Auf welche Art und Weise auch immer. Konntest du die DLL vollständig unpacken? So, dass sie lauffähig ist? Das wäre super. Man könnte dann einfach n CodeCave bauen und irgendeine "Vol Serial" generieren.

florian0 · 1. März 2015

Euphi schrieb:

Konntest du die DLL vollständig unpacken? So, dass sie lauffähig ist? Das wäre super. Man könnte dann einfach n CodeCave bauen und
irgendeine "Vol Serial" generieren.

In Manual Unpacking bin ich grotten schlecht. Übern Hook gehts auch:

Code

Toggle On: E8 29 FC 3C 6C 90
Toggle Off: 8B 42 2C 57 FF D0
Vol Serial is 0x0x????????
+ ????
LDR: Dll loaded at 0x6cc10000
LDR: Have Volume Id 0x???????? (at 0x6cc144c4)
LDR: Patched Volume Id to 0x1337 (at 0x6cc144c4)
0A 00 05 61 00 00 00 00 13 37
packet sent

Howto Install schrieb:

PGNTorque.dll im Silkroad Ordner zu TargetPGNTorque.dll umbenennen

PGNTorqueMod.dll in den Silkroad Ordner einfügen.

PGNTorqueMod.dll zu PGNTorque.dll umbenennen

Version 1.0
PGNTorqueMod.dll (v1.0) | Virustotal

Version 1.1
PGNTorqueMod.dll (v1.1) | Virustotal

Edit: Version 1.1 mit abschaltbarer Debug-Konsole

dawd1dawy · 1. März 2015

Super Arbeit! Vielleicht noch einbauen, dass die Volume Id zufällig generiert wird? Wobei das hier auch schon für 6 Clients reicht

florian0 · 1. März 2015

Wird sie bereits in beiden Versionen. Der Log-ausschnitt ist vielleicht etwas irreführend.

Code

printf("LDR: Have Volume Id %#x (at %#x)\n", *lpVolumeId, lpVolumeId);
srand(GetTickCount());
*lpVolumeId = (rand() & 0xFF) |
(rand() & 0xFF) << 8 |
(rand() & 0xFF) << 16 |
(rand() & 0xFF) << 24;
printf("LDR: Patched Volume Id to %#x (at %#x)\n", *lpVolumeId, lpVolumeId);

Alles anzeigen

Ich bastle gerade noch an einer Möglichkeit für eine Liste, in der man eine Reihe von Volume-IDs zur Verwendung angeben kann. Dann sind die nicht vollkommen Random und fallen, falls das überhaupt geloggt wird, weniger auf.

aturi · 1. März 2015

Man Leute ihr seid ja echt der Hammer, ich danke euch :))
bin gleichg zuhause und werde das ganze mal testen
und 6clients sind schonmal besser als 3 :))

Wollte es jetzt testen, kamen leider 2 Fehler:
Beim Client Starten über mBot:
sro_Client.exe - Systemfehler
Das Programm kann nicht gestartet werde, da MSVCP100D.ddl auf dem Computer fehlt.
Installieren Sie das Programm erneut, um das Problem zu beheben.
- Dann Startet der Client dennoch nach wegklicken der Meldung.

Beim Einloggen:

PGNTorque.dll is damaged. Restart your Client, if the Problem persists, Report to an admin.

Edit: Sorry für Doppel Post.

Hab alles gemacht wie oben beschrieben.

florian0 · 1. März 2015

Dann musst du noch die MSVC Runtime Libraries installieren.
Diese müssten es sein: http://www.microsoft.com/en-us/download/details.aspx?id=5555
(Komisch das die nicht schon installiert sind. Eigentlich brauchen die voll viele Programme ...)

aturi · 1. März 2015

florian0 schrieb:

Dann musst du noch die MSVC Runtime Libraries installieren.
Diese müssten es sein: http://www.microsoft.com/en-us/download/details.aspx?id=5555
(Komisch das die nicht schon installiert sind. Eigentlich brauchen die voll viele Programme ...)

Er sagt mir das eine neuere Version gefunden wurde.
Wenn ich den Bot ohne die neue Datei starte geht alles.

florian0 · 1. März 2015

Sorry, mein Fehler. Habs auf Debug kompiliert, da braucht er die Visual Studio Runtimes vom Debugger auch. Mit der Version sollte es jetzt gehen.

Version 1.2
PGNTorqueMod.dll (v1.2) | Virustotal

[quote=Features]

Ini-Konfigurationsdatei:

Code

[General]
Console=0 oder 1
VolumeIdSource=RAND|LIST|STAT
StaticId=32 Bit Integer (wird verwendet bei STAT)

Console
Aktiviert bzw. Deaktiviert die Debug-Konsole.

VolumeIdSource:
Modus: RAND
Bei jedem Client-start wird eine zufällige Volume-Id generiert.

Modus: LIST
In einer Datei volume_ids.txt (muss selbst angelegt werden) können zeilenbasiert Volume-Ids angegeben werden. Diese werden per Zufall ausgewählt.

Modus: STAT
Bei jedem Client-start wird die unter StaticId eingetragene Volume-Id verwendet.

dawd1dawy · 1. März 2015

StageTwo ist Coding mäßig ja doch zu was im Stande

aturi · 1. März 2015

florian0 schrieb:

Sorry, mein Fehler. Habs auf Debug kompiliert, da braucht er die Visual Studio Runtimes vom Debugger auch. Mit der Version sollte es jetzt gehen.

Version 1.2
PGNTorqueMod.dll (v1.2) | Virustotal

[quote=Features]

Ini-Konfigurationsdatei:

Code

[General]

Console=0 oder 1

VolumeIdSource=RAND|LIST|STAT

StaticId=32 Bit Integer (wird verwendet bei STAT)

Console
Aktiviert bzw. Deaktiviert die Debug-Konsole.

VolumeIdSource:
Modus: RAND
Bei jedem Client-start wird eine zufällige Volume-Id generiert.

Modus: LIST
In einer Datei volume_ids.txt (muss selbst angelegt werden) können zeilenbasiert Volume-Ids angegeben werden. Diese werden per Zufall ausgewählt.

Modus: STAT
Bei jedem Client-start wird die unter StaticId eingetragene Volume-Id verwendet.

Alles anzeigen

Klappt super !
Ich danke dir !
Wäre es kompliziert das ganze so zu machen das ich 9 statt nur 6 Clients starten kann ?
Bin dir zwar jetzt schon super dankbar aber das wäre noch ein kleines Sahne Häubchen :b

florian0 · 2. März 2015

aturi schrieb:

Wäre es kompliziert das ganze so zu machen das ich 9 statt nur 6 Clients starten kann ?

Euphi schrieb:

Vielleicht noch einbauen, dass die Volume Id zufällig generiert wird? Wobei das hier auch schon für 6 Clients reicht

florian0 schrieb:

Wird sie bereits in beiden Versionen.

Geht schon die ganze Zeit

aturi · 2. März 2015

florian0 schrieb:

Geht schon die ganze Zeit

Bist du sicher ? ab dem 7. Client zeigt er dauerhaft:
[00:32:15] Ein Verbindungsversuch ist fehlgeschlagen, da die Gegenstelle nach einer bestimmten Zeitspanne nicht richtig reagiert hat, oder die hergestellte Verbindung war fehlerhaft, da der verbundene Host nicht reagiert hat.

Nachdem er sich im Log in Fenster aufhängt.

florian0 · 2. März 2015

Ich habs ehrlich gesagt nicht ausprobiert, rein von technischer Seite machts der Mod aber möglich.
Hast du die Clienten offen oder Clientless?

aturi · 2. März 2015

Sind alle offen, was wenn möglich auch so bleiben sollte sonst machen die manchmal Probs beim reloggen.

Dachte das wäre so gedacht das nur 6 gehen weil das von Euphi mein ich oben erwähnt wurde.

florian0 · 2. März 2015

Es gibt wohl ein Verbindungslimit pro IP von 6. Wo das eingestellt ist, kann ich nicht sagen. Aber mehr wie 6 Verbindungen bekomme ich mit meiner IP nicht hin.
Über einen Proxy hab ich derzeit weitere 1 2 3 4 Accounts online. Mehr schaff ich mit 4GB RAM leider nicht.
Bei manchen Proxies hats bissel gebuggt. Da hab ich von "Cannot Connect" über C10 bis DLL corrupted alles bekommen.

aturi · 2. März 2015

florian0 schrieb:

Es gibt wohl ein Verbindungslimit pro IP von 6. Wo das eingestellt ist, kann ich nicht sagen. Aber mehr wie 6 Verbindungen bekomme ich mit meiner IP nicht hin.
Über einen Proxy hab ich derzeit weitere 1 2 3 4 Accounts online. Mehr schaff ich mit 4GB RAM leider nicht.
Bei manchen Proxies hats bissel gebuggt. Da hab ich von "Cannot Connect" über C10 bis DLL corrupted alles bekommen.

ich hab feste ips von Proxys, werde diese mal testen .

dawd1dawy · 2. März 2015

Wenn du mehr als 6 Clients einloggen möchtest, dann brauchst du mind. 2 Proxyserver
flo, du hookst einfach die DLL von denen oder? Wie/Womit hast du den verstehbaren ASM Inhalt der DLL rausbekommen?

florian0 · 2. März 2015

Korrekt. Globale Variable sei dank, kann man das Ding mit 3 Zeilen brechen.

Code

HMODULE hTorqueLib = LoadLibrary("TargetPGNTorque.dll");
int* lpVolumeId = (int*)((int)hTorqueLib + VOLUMEID_OFFSET);
*lpVolumeId = 0xDEADBEEF;

OllyDBG 1.10 mit StrongOD und PhantOm. Damit lässt sichs starten.

Teilen