Du bist nicht angemeldet und hast somit nur einen sehr eingeschränkten Zugriff auf die Features unserer Community.
Um vollen Zugriff zu erlangen musst du dir einen Account erstellen. Der Vorgang sollte nicht länger als 1 Minute dauern.
GFX Seller
Android, Android [root], iPhone
Windows, Linux, Mac OSGuten Tag jungs,
ich suche hier jemanden, der eine Anwendung (Vermutlich in AutoIT) cracken kann. Wenn er dies per TeamViewer zeigen könnte bzw. es erfolgreich gecrackt wurde, bin ich natürlich auch bereit ein paar Euros springen zu lassen! 
Falls Interesse besteht, bitte ich jenen mich zu kontaktieren. 
LG, Ice
Habe den Thread einfach umbenannt, beachtet die unteren Kommentare nicht!
Bearbeitet von ice, 24 March 2015 - 16:06 Uhr.
P R E M I U M G F X S E R V I C E B Y I C E
Moderator
SpenderAndroid [root]Windows, Linux
Würfel
Android, Android [root]Windows, Linux
GFX Seller
Android, Android [root], iPhoneWindows, Linux, Mac OS
GFX Seller
Android, Android [root], iPhoneWindows, Linux, Mac OS|
Thanked by 1 Member:
|
|
GFX Seller
Android, Android [root], iPhoneWindows, Linux, Mac OS
Hacker
AndroidLinux
Tjak <3
verifiziertAndroid [root], iPhoneWindowsHab's mir mal grob angesehen, verstehe die Logik dahinter noch nicht so ganz.
Es werden einige Dateien heruntergeladen, unter anderem:
und https://www.dropbox.com/s/anro1rmnatxa9vv/YXCXYXNCJYXNCJNSDJFNDJFSDSFJLSDFNDSLFLDSFDSF?dl=1
(letztere mal mit dem Notepad oeffnen )
Der Check laeuft hier ab:
FUNC _T0XB35A0F3A4A7A1EF88F0B3EE9874485EF ( $USERNAME , $PASSWORD ) $MYID = ( $HARDWAREID ) $AC = EXECUTE ( BINARYTOSTRING ( "0x" & STRINGLEN ( "vH" ) & "0" & STRINGLEN ( "vH" ) & STRINGLEN ( "LAII" ) & "545F54" & STRINGLEN ( "ZDZ" ) & "0" & STRINGLEN ( "GLSCLTK" ) & "8" & STRINGLEN ( "ZDZ" ) & "4" & STRINGLEN ( "ZDZ" ) & "9393" & STRINGLEN ( "p" ) & "303031463" & STRINGLEN ( "vH" ) & "464531344633463930353045314346453" & STRINGLEN ( "GLSCLTK" ) & "46463243324520" ) ) $PW = EXECUTE ( BINARYTOSTRING ( "0x" & STRINGLEN ( "kA" ) & "0" & STRINGLEN ( "kA" ) & STRINGLEN ( "SPBB" ) & "5" & STRINGLEN ( "SPBB" ) & "5F54" & STRINGLEN ( "YYO" ) & "0" & STRINGLEN ( "EADYHCO" ) & "8383838383" & STRINGLEN ( "f" ) & "3" & STRINGLEN ( "EADYHCO" ) & "34393434444" & STRINGLEN ( "f" ) & "323235423038364341414333433330313043354320" ) ) $HWID = EXECUTE ( BINARYTOSTRING ( "0x" & STRINGLEN ( "mP" ) & "0" & STRINGLEN ( "mP" ) & STRINGLEN ( "FVBD" ) & "5" & STRINGLEN ( "FVBD" ) & "5F54" & STRINGLEN ( "OTA" ) & "0" & STRINGLEN ( "VLWHKKI" ) & "84" & STRINGLEN ( "mP" ) & "343939464" & STRINGLEN ( "mP" ) & "453630454445453" & STRINGLEN ( "e" ) & "4334413" & STRINGLEN ( "VLWHKKI" ) & "364338434636373531414536423920" ) ) $WINDOWSNAME = EXECUTE ( BINARYTOSTRING ( "0x" & STRINGLEN ( "jB" ) & "0" & STRINGLEN ( "jB" ) & STRINGLEN ( "QHQY" ) & "545F54" & STRINGLEN ( "RQT" ) & "0" & STRINGLEN ( "IRAEOTD" ) & "8" & STRINGLEN ( "RQT" ) & STRINGLEN ( "IRAEOTD" ) & STRINGLEN ( "RQT" ) & "03934453630384" & STRINGLEN ( "i" ) & "4543383332353330343430454" & STRINGLEN ( "i" ) & "423342304339453" & STRINGLEN ( "i" ) & "463720" ) ) $HTTP = EXECUTE ( BINARYTOSTRING ( "0x" & STRINGLEN ( "dW" ) & "0" & STRINGLEN ( "HLSN" ) & "F6" & STRINGLEN ( "dW" ) & "6A4" & STRINGLEN ( "DHB" ) & STRINGLEN ( "PPLIHNE" ) & STRINGLEN ( "dW" ) & "656" & STRINGLEN ( "j" ) & STRINGLEN ( "PPLIHNE" ) & "465" & STRINGLEN ( "dW" ) & "82024545F54" & STRINGLEN ( "DHB" ) & "07844" & STRINGLEN ( "DHB" ) & "4343839333236363" & STRINGLEN ( "j" ) & "3036443630453045423" & STRINGLEN ( "j" ) & "4242423446324235414332332029" ) ) $HTTP.open ( $T_T0X95445782D81B23EC9E221074BCA4AFFB , $T_T0XF8E4C136F3FD6FA35367006EBAA6A9E7 , FALSE ) $HTTP.setrequestheader ( $T_T0X42D7C46EDE54A98C1453D3034CDD3943 , $T_T0X561863CC39F2F34D110D67702025518D ) $HTTP.send ( $AC & $USERNAME & $PW & $PASSWORD & $HWID & $MYID & $WINDOWSNAME & $WINDOWSNAMES ) $RECEIVED = EXECUTE ( BINARYTOSTRING ( "0x" & STRINGLEN ( "tN" ) & "0" & STRINGLEN ( "tN" ) & STRINGLEN ( "QYNH" ) & "68" & STRINGLEN ( "UFWYVTS" ) & STRINGLEN ( "QYNH" ) & STRINGLEN ( "UFWYVTS" ) & "4" & STRINGLEN ( "UFWYVTS" ) & "02E72657" & STRINGLEN ( "DDE" ) & "706F6E736574657874" ) ) $HTTP.close ( ) RETURN $RECEIVED ENDFUNC
Ist relativ gut obfuscated, die Funktion wird im Nachhinein erneut encoded aufgerufen.
Hast aber schon mal einen Ansatzpunkt (:
Ich bin der Stoff aus dem die Traeume sind.
GFX Seller
Android, Android [root], iPhoneWindows, Linux, Mac OSHab's mir mal grob angesehen, verstehe die Logik dahinter noch nicht so ganz.
Es werden einige Dateien heruntergeladen, unter anderem:
und https://www.dropbox.com/s/anro1rmnatxa9vv/YXCXYXNCJYXNCJNSDJFNDJFSDSFJLSDFNDSLFLDSFDSF?dl=1
(letztere mal mit dem Notepad oeffnen
Der Check laeuft hier ab:
FUNC _T0XB35A0F3A4A7A1EF88F0B3EE9874485EF ( $USERNAME , $PASSWORD ) $MYID = ( $HARDWAREID ) $AC = EXECUTE ( BINARYTOSTRING ( "0x" & STRINGLEN ( "vH" ) & "0" & STRINGLEN ( "vH" ) & STRINGLEN ( "LAII" ) & "545F54" & STRINGLEN ( "ZDZ" ) & "0" & STRINGLEN ( "GLSCLTK" ) & "8" & STRINGLEN ( "ZDZ" ) & "4" & STRINGLEN ( "ZDZ" ) & "9393" & STRINGLEN ( "p" ) & "303031463" & STRINGLEN ( "vH" ) & "464531344633463930353045314346453" & STRINGLEN ( "GLSCLTK" ) & "46463243324520" ) ) $PW = EXECUTE ( BINARYTOSTRING ( "0x" & STRINGLEN ( "kA" ) & "0" & STRINGLEN ( "kA" ) & STRINGLEN ( "SPBB" ) & "5" & STRINGLEN ( "SPBB" ) & "5F54" & STRINGLEN ( "YYO" ) & "0" & STRINGLEN ( "EADYHCO" ) & "8383838383" & STRINGLEN ( "f" ) & "3" & STRINGLEN ( "EADYHCO" ) & "34393434444" & STRINGLEN ( "f" ) & "323235423038364341414333433330313043354320" ) ) $HWID = EXECUTE ( BINARYTOSTRING ( "0x" & STRINGLEN ( "mP" ) & "0" & STRINGLEN ( "mP" ) & STRINGLEN ( "FVBD" ) & "5" & STRINGLEN ( "FVBD" ) & "5F54" & STRINGLEN ( "OTA" ) & "0" & STRINGLEN ( "VLWHKKI" ) & "84" & STRINGLEN ( "mP" ) & "343939464" & STRINGLEN ( "mP" ) & "453630454445453" & STRINGLEN ( "e" ) & "4334413" & STRINGLEN ( "VLWHKKI" ) & "364338434636373531414536423920" ) ) $WINDOWSNAME = EXECUTE ( BINARYTOSTRING ( "0x" & STRINGLEN ( "jB" ) & "0" & STRINGLEN ( "jB" ) & STRINGLEN ( "QHQY" ) & "545F54" & STRINGLEN ( "RQT" ) & "0" & STRINGLEN ( "IRAEOTD" ) & "8" & STRINGLEN ( "RQT" ) & STRINGLEN ( "IRAEOTD" ) & STRINGLEN ( "RQT" ) & "03934453630384" & STRINGLEN ( "i" ) & "4543383332353330343430454" & STRINGLEN ( "i" ) & "423342304339453" & STRINGLEN ( "i" ) & "463720" ) ) $HTTP = EXECUTE ( BINARYTOSTRING ( "0x" & STRINGLEN ( "dW" ) & "0" & STRINGLEN ( "HLSN" ) & "F6" & STRINGLEN ( "dW" ) & "6A4" & STRINGLEN ( "DHB" ) & STRINGLEN ( "PPLIHNE" ) & STRINGLEN ( "dW" ) & "656" & STRINGLEN ( "j" ) & STRINGLEN ( "PPLIHNE" ) & "465" & STRINGLEN ( "dW" ) & "82024545F54" & STRINGLEN ( "DHB" ) & "07844" & STRINGLEN ( "DHB" ) & "4343839333236363" & STRINGLEN ( "j" ) & "3036443630453045423" & STRINGLEN ( "j" ) & "4242423446324235414332332029" ) ) $HTTP.open ( $T_T0X95445782D81B23EC9E221074BCA4AFFB , $T_T0XF8E4C136F3FD6FA35367006EBAA6A9E7 , FALSE ) $HTTP.setrequestheader ( $T_T0X42D7C46EDE54A98C1453D3034CDD3943 , $T_T0X561863CC39F2F34D110D67702025518D ) $HTTP.send ( $AC & $USERNAME & $PW & $PASSWORD & $HWID & $MYID & $WINDOWSNAME & $WINDOWSNAMES ) $RECEIVED = EXECUTE ( BINARYTOSTRING ( "0x" & STRINGLEN ( "tN" ) & "0" & STRINGLEN ( "tN" ) & STRINGLEN ( "QYNH" ) & "68" & STRINGLEN ( "UFWYVTS" ) & STRINGLEN ( "QYNH" ) & STRINGLEN ( "UFWYVTS" ) & "4" & STRINGLEN ( "UFWYVTS" ) & "02E72657" & STRINGLEN ( "DDE" ) & "706F6E736574657874" ) ) $HTTP.close ( ) RETURN $RECEIVED ENDFUNCIst relativ gut obfuscated, die Funktion wird im Nachhinein erneut encoded aufgerufen.
Hast aber schon mal einen Ansatzpunkt (:
Habe ich eben auch schon angesehen... :[
Irgendeine Chance das ganze zu deobfuscaten...?
LG
Ice
P R E M I U M G F X S E R V I C E B Y I C E
Pentester
Ich hab nicht viel Ahnung von AutoIt aber ich wuerde die Ausgabe umleiten:
$XX = EXCUTE(BINARYTOSTRING(...))
zu dem machen:
$XX = BINARYTOSTRING(...)
dann kannst du es noch mal kompilieren lassen und es z.B. in eine Datei schreiben:
Anmelden
Benutzerkonto erstellen
Nach oben
Melden
Local $file = FileOpen("c:\test.txt", 1)
; Prüfen, ob Datei im Schreibmodus geöffnet ist
If $file = -1 Then
MsgBox(0, "Fehler", "Die Datei konnte nicht geöffnet werden.")
Exit
EndIf
$HTTP = BINARYTOSTRING ( "0x" & STRINGLEN ( "dW" ) & "0" & STRINGLEN ( "HLSN" ) & "F6" & STRINGLEN ( "dW" ) & "6A4" & STRINGLEN ( "DHB" ) & STRINGLEN ( "PPLIHNE" ) & STRINGLEN ( "dW" ) & "656" & STRINGLEN ( "j" ) & STRINGLEN ( "PPLIHNE" ) & "465" & STRINGLEN ( "dW" ) & "82024545F54" & STRINGLEN ( "DHB" ) & "07844" & STRINGLEN ( "DHB" ) & "4343839333236363" & STRINGLEN ( "j" ) & "3036443630453045423" & STRINGLEN ( "j" ) & "4242423446324235414332332029" )
$r = BINARYTOSTRING ( "0x" & STRINGLEN ( "UQYZ" ) & STRINGLEN ( "s" ) & STRINGLEN ( "OYNKJIR" ) & STRINGLEN ( "NBP" ) & STRINGLEN ( "OYNKJIR" ) & "369676E" & STRINGLEN ( "jS" ) & ( 8 + 5 ) ^ 2 + -161 & STRINGLEN ( "jS" ) & "75" & STRINGLEN ( "UQYZ" ) & "5F5" & STRINGLEN ( "UQYZ" ) & "307" & ( 8 + 5 ) ^ 2 + -161 & "44h37434436393435413" & STRINGLEN ( "jS" ) & "34433339313639453643374630343332334431364434272C20276170706C69636174696F6E2F7" & ( 8 + 5 ) ^ 2 + -161 & "2D7777772D666F726D2D75726C656E636F6465642729")
FileWrite($file, $HTTP)
FileWrite($file,$r )
FileClose($file)
Das ganze Zeug kannst du dann hier
Fuer $HTTP kannst du dann statt EXECUTE(...), ObjCreate( $T_T0xD44893266106D60E0EB1BBB4F2B5AC23 ) einsetzen..
|
Thanked by 1 Member:
|
|
GFX Seller
Android, Android [root], iPhoneWindows, Linux, Mac OSIch hab nicht viel Ahnung von AutoIt aber ich wuerde die Ausgabe umleiten:
$XX = EXCUTE(BINARYTOSTRING(...))
zu dem machen:
$XX = BINARYTOSTRING(...)
dann kannst du es noch mal kompilieren lassen und es z.B. in eine Datei schreiben:Local $file = FileOpen("c:\test.txt", 1) ; Prüfen, ob Datei im Schreibmodus geöffnet ist If $file = -1 Then MsgBox(0, "Fehler", "Die Datei konnte nicht geöffnet werden.") Exit EndIf $HTTP = BINARYTOSTRING ( "0x" & STRINGLEN ( "dW" ) & "0" & STRINGLEN ( "HLSN" ) & "F6" & STRINGLEN ( "dW" ) & "6A4" & STRINGLEN ( "DHB" ) & STRINGLEN ( "PPLIHNE" ) & STRINGLEN ( "dW" ) & "656" & STRINGLEN ( "j" ) & STRINGLEN ( "PPLIHNE" ) & "465" & STRINGLEN ( "dW" ) & "82024545F54" & STRINGLEN ( "DHB" ) & "07844" & STRINGLEN ( "DHB" ) & "4343839333236363" & STRINGLEN ( "j" ) & "3036443630453045423" & STRINGLEN ( "j" ) & "4242423446324235414332332029" ) $r = BINARYTOSTRING ( "0x" & STRINGLEN ( "UQYZ" ) & STRINGLEN ( "s" ) & STRINGLEN ( "OYNKJIR" ) & STRINGLEN ( "NBP" ) & STRINGLEN ( "OYNKJIR" ) & "369676E" & STRINGLEN ( "jS" ) & ( 8 + 5 ) ^ 2 + -161 & STRINGLEN ( "jS" ) & "75" & STRINGLEN ( "UQYZ" ) & "5F5" & STRINGLEN ( "UQYZ" ) & "307" & ( 8 + 5 ) ^ 2 + -161 & "44h37434436393435413" & STRINGLEN ( "jS" ) & "34433339313639453643374630343332334431364434272C20276170706C69636174696F6E2F7" & ( 8 + 5 ) ^ 2 + -161 & "2D7777772D666F726D2D75726C656E636F6465642729") FileWrite($file, $HTTP) FileWrite($file,$r ) FileClose($file)kompilieren lassen und dann kriegst du das was der AutoIt Executen wollte.
Das ganze Zeug kannst du dann hier
Du musst dann wahrscheinlich weiter suchen und ersetzen und den code so langsam leserlicher machen. Ich hab fuer den Code oben, das raus bekommen:
ObjCreate( $T_T0xD44893266106D60E0EB1BBB4F2B5AC23 )
Assign('T_T0xD7CD6945A24C39169E6C7F04323D16D4', 'application/x-www-form-urlencoded')
Fuer $HTTP kannst du dann statt EXECUTE(...), ObjCreate( $T_T0xD44893266106D60E0EB1BBB4F2B5AC23 ) einsetzen..
...nicht so viel Ahnung von AutoIt...
Na geil, nach genau soetwas habe ich gesucht! Vielen Dank, ich hoffe ich krieg das so hin, wie ich mir das vorstelle!
LG
Ice
P R E M I U M G F X S E R V I C E B Y I C E
Pentester
GFX Seller
Android, Android [root], iPhoneWindows, Linux, Mac OSBitte
Nunja, habe ein paar Zeilen "getrackt", mit diesem ganzen hin-und-her werde ich schon blöd im Kopf... Am ende wird mir oft nur irgendein offset o.ä angezeigt, z.B.
0x41737369676E2827545F5430783343839333236363130364436304530454231424242344632423541433233272C202777696E687474702E77696E68747470726571756573742E352E312729
Wurde das noch im eigenen Haus mit irgendeinem space-obfuscator encrypted, oder komm ich einfach nicht dahinter? :S
LG
ice
Bearbeitet von ice, 27 March 2015 - 21:15 Uhr.
P R E M I U M G F X S E R V I C E B Y I C E
Pentester
Es wirkt so als ob du auf dem Weg etwas falsch gemacht (vielleicht beim kopieren?) hast. Ich hatte deinen Wert gesplittet:
0x41737369676E2827545F543078334
0x3839333236363130364436304530454231424242344632423541433233272C202777696E687474702E77696E68747470726571756573742E352E312729
und da rein kopiert:
Und bekamm das:
Assign('T_T0x3893266106D60E0EB1BBB4F2B5AC23', 'winhttp.winhttprequest.5.1')
Deine Zahl ist auch 151 Zeichen lang (ohne 0x) sie muss aber immer "gerade" sein (modulo 2).
Bearbeitet von pdr0, 27 March 2015 - 21:45 Uhr.
GFX Seller
Android, Android [root], iPhoneWindows, Linux, Mac OSEs wirkt so als ob du auf dem Weg etwas falsch gemacht (vielleicht beim kopieren?) hast. Ich hatte deinen Wert gesplittet:
0x41737369676E2827545F543078334
0x3839333236363130364436304530454231424242344632423541433233272C202777696E687474702E77696E68747470726571756573742E352E312729
und da rein kopiert:
Und bekamm das:
Assign('T_T0x3893266106D60E0EB1BBB4F2B5AC23', 'winhttp.winhttprequest.5.1')
Deine Zahl ist auch 151 Zeichen lang (ohne 0x) sie muss aber immer "gerade" sein (modulo 2).
Vertippt oder so habe ich mich nicht.. können Leerzeichen dazu führen?
Stehe sehr auf dem Schlauch. Wie hast du den Wert genau da splitten können? 
Vielen Dank
LG
Ice
P R E M I U M G F X S E R V I C E B Y I C E
Pentester
Gesplittet hört sich so abgefahren an. Ich hab nur irgendwo einen zeilenumbruch gemacht und bei der anderen Zahl 0x vorne dran gemacht . Ich hab noch ein wenig hin und her geschoben.
Und mein Ergebnis sah irgenwann auch glaubwürdig aus, wie dieses Beispiel aus dem Script: $T_T0X317A5694F677D9C16889C3B63267B29F .
| Thema | Forum | Themenstarter | Statistik | Letzter Beitrag | |
|---|---|---|---|---|---|
vCRACK MULTI - ACCOUNT CRACKER |
Checker | Sandoz |
|
|
|
[S] Cracker für Spoofer |
 Suchanfragen
|
SK4LL3R |
|
|
|
Treten Sie der Cracker-Community bei |
Abgelehnt / Rejected | tester5695 |
|
|
Mitglieder: , Gäste: , unsichtbare Mitglieder:
Made with in germany.
Tool Area
