Windows bestandsnaam exploit
Deze tutorial laat je zien hoe je een .exe programma eruit kunt laten zien als een .mp3, .jpg etc.Vroeger deden we dat met de dubbele extensie: bijvoorbeeld .jpg.exe. Tegenwoordig trapt niemand daar meer in omdat het heel opvallend is. We maken gebruik van een andere techniek, dat RTLO heet: Right-To-Left Override.
Het bestand
Stel we hebben een kwaadaardig bestand dat trojan.exe heet, en we hebben het alvast een mooi MP3 icoontje gegeven. We hernoemen het naar:
Michael Jackson - Billie Jean upload by .SCR
Zoals je ziet hebben we het bestand veranderd naar .SCR, dat staat voor Screensaver. Programma's die je de extensie SCR geeft, blijven gewoon werken als je ze uitvoert (je kunt het ook .exe houden, maar SCR ziet er geloofwaardiger uit, dat zie je dadelijk wel).
Zo dus:
Exploit toepassen
We gaan het RTLO teken opzoeken. Daarvoor gaan we naar Start > Alle programma's > Bureau-accessoires > Systeemwerkset > Speciale tekens.
Zet het lettertype op Arial en vul bij zoeken in: 'Rechts-naar-links opheffen'. Je zult nu één teken vinden (dat zie je niet, want het is een onzichtbaar teken).
Klik nu een aantal keren op de knop Selecteren, en daarna op Kopiëren.
Wijzig vervolgens de naam van het bestand dat we hadden, en plak vóór de .SCR het teken dat we net hebben gekopieerd. Dat doe je met Ctrl+V.
Het enige wat je nu nog moet doen is 3pm typen (mp3 achterstevoren) en zie daar:
Net een echte MP3!
Hoe bescherm je jezelf hiertegen? Schakel over naar het detailleringsscherm, zodat je naast de extensie ook ziet welk bestandstype het is. Daar blijft namelijk wel 'Schermbeveiliging' staan. De meeste mensen hebben dit niet, dus deze exploit kan flink misbruikt worden als Microsoft niet snel een patch uitbrengt.
Veel plezier ermee!
Hierna een tutorial hoe je deze techniek bij links toepast. Dat kan ook heel gevaarlijk zijn.
Reacties (14)
Weer een goede reden om altijd ook extensies van bekende bestandstypen weer te geven. Ik heb al vaak zat meegemaakt dat iemand gewoon een bestand heeft dat bijvoorbeeld naamloos.bmp.bmp heet, terwijl ze denken dat het alleen naamloos.bmp is.
Dat left-to-right kende ik nog niet, alleen word er niet uitgelegd of dat puntje nou ook nog achter dat 3PM moet, of ervoor. Telt deze wel mee bij dat left-to-right gebeuren?
Dat left-to-right kende ik nog niet, alleen word er niet uitgelegd of dat puntje nou ook nog achter dat 3PM moet, of ervoor. Telt deze wel mee bij dat left-to-right gebeuren?
Leuke tut, las al een stukje hierover gisteren op security.nl.
Kende dit al, beetje jammer dat iedereen het straks kent, dan kan je je vrienden niet meer dingen laten openen 
Hielke schreef:Weer een goede reden om altijd ook extensies van bekende bestandstypen weer te geven. Ik heb al vaak zat meegemaakt dat iemand gewoon een bestand heeft dat bijvoorbeeld naamloos.bmp.bmp heet, terwijl ze denken dat het alleen naamloos.bmp is.
Ook met bekende bestandstypen weergeven trap je hier in. Dat is nou juist wat ik duidelijk probeer te maken.
Dat left-to-right kende ik nog niet, alleen word er niet uitgelegd of dat puntje nou ook nog achter dat 3PM moet, of ervoor. Telt deze wel mee bij dat left-to-right gebeuren?
Je hoeft zelf geen punt te gebruiken. Alleen 3pm typen is genoeg.
Fijn dat iemand een tutorial maakt, ik ben er na dat artikeltje op security.nl uiteindelijk zelf achter gekomen.
Weet iemand nog woorden eindogend op exe, fip of moc (exe pif en com dus)
Weet iemand nog woorden eindogend op exe, fip of moc (exe pif en com dus)
Leuke tutorial, kan misschien nog eens van pas komen 
haha, hier stond vorig jaar nog een tut van mij op l33thackers, moest ik schrijven voor iDream toendertijd (:
Dit is de zogehete 'extention exploit'. Mooi uitgelegd, op de rtl character na ;x
Dit is de zogehete 'extention exploit'. Mooi uitgelegd, op de rtl character na ;x
laatmaar, iniedergeval goede tutorial
Nee, alt+255 is een spatie.
Thisegzz schreef:Nee, alt+255 is een spatie.
Had niet goed gelezen, en een non break space om precies te zijn... als ik me niet vergis tenminste
Lol, werkt niet.
Bestandsnaam die ik nu krijg: pdfbestand3pm.pdf
En dat onzichtbaar teken heeft ook geen lenge van een character. wanneer ik een paar keer paste komen er ook sowieso geen spaties oid.
Zou wel mooi geweest zijn.
Bestandsnaam die ik nu krijg: pdfbestand3pm.pdf
En dat onzichtbaar teken heeft ook geen lenge van een character. wanneer ik een paar keer paste komen er ook sowieso geen spaties oid.
Zou wel mooi geweest zijn.
Je moet een paar keer op Selecteren klikken, anders pakt ie 'm niet.
Thisegzz schreef:Je moet een paar keer op Selecteren klikken, anders pakt ie 'm niet.
??????????????????????hahaha als je dat gewoon hier op het forum gebruikt, werkt het ook... wel lachen opzich.
??????????????wel jammer dat het niet werkt bij mij in bestandsnamen. Wel ergens anders maar niet bij bestandsnamen, dan krijg ik allemaal hokjes te zien.
Mooie tutorial. Wel gelukkig makkelijk op te lossen. Alle bekende extensie/programma koppelingen verwijderen. Dan krijg je elke keer de vraag weet je zeker dat je bla bla wil openen. Plus je zou ook een tooltje kunnen installeren die enkel bekende extensie toelaat. In begin geeft het even ergenis maar met weekje of 2 heb je er dan geen omkijken meer naar.
Plaats reactie
Alleen leden kunnen reacties plaatsen. Ga naar de inlogpagina of word gratis lid van DigitalPlace.nl.
Details
Jouw mening
Updates
Opties
Hielke