Hola muy buenas, Tengo algunas dudas con las conexiones de los troyanos.
Cuando tenemos un troyano instalado en nuestra pc, mediante netstat podremos sacar la dirección del troyano, que es donde se conecta a nuestra pc.
Los troyanos segun he leido se conecta el pc infectado al pc atacante ¿no?,
si esto es asi, querria saber como podria inyectarle archivos, acceder o cualquier otra cosa al pc atacante, ya que este se supone que admitira todo lo que entre por el puerto que este establecida la conexion.
se podria realizar esto??
gracias
la tarjeta de red y el Windows aceptan todo lo que entre por ese puerto, pero el programa deacarta todo lo queno le interesa... si fuera tan simple le no hubieran troyanos, sino que accedieran ylisto
Puede intentar crashearle el programa.. ponele que le inyecte cadenas muy largas,, o caracteres inesperados.. si el cliente esta mal programado capaz le hagas pasar un mal dia hasta que elimine tu conexión jaja no se,, eso se me ocurre a mi..
Exploit, pero para ello requieres conocimientos sólidos de Ing. Inversa, saludos.
interesante .:UND3R:. , te refieres a "actualizar" el troyano? suena genial XD
te consulto capaz es una burrada por no haber leido lo suficiente del material en este foro (falta de tiempo! una de las tantas cosas que tengo pendiente...) es factible entonces reemplazar algún nop o editar un call para inyectar en el stack, de esa forma usar el mismo proceso para algún shellcode, por ejemplo?
de esa forma no sería rechazada nuestra conexión al origen.
el punto central sería el tamaño de la inyección, verdad?
Citarinteresante .:UND3R:. , te refieres a "actualizar" el troyano? suena genial XD
Mmmm... No creo que sea eso lo que dice .:UNDER:.
La pregunta es:
Citarquerria saber como podria inyectarle archivos, acceder o cualquier otra cosa al pc atacante, ya que este se supone que admitira todo lo que entre por el puerto que este establecida la conexion.
La idea no es mejorar el servidor,, sino que meterse en la pc atacante.. nosotros sabemos que tiene un puerto abierto y una conexion establecida con nuestra maquina, entonces la idea seria pasar de "atacado" a "atacante" (La verdad que seria muy gracioso verle la cara de pasmado frente al pc, al "pseudohacker" que nos ha infectado jeje) Suena interesante..
Saludos!
me refería no a anularlo por explotar otro puerto del origen, que sería lo más lógico o intuitivo; sino a utilizar el mismo malware (en el servidor no sería el mismo proceso original, como si estuviera recibiendo datos genuinos de su troyano?) como pasarela o exploit para nuestro payload...
claro Vaagish esa es la idea XD pero mi ocurrencia era aprovechar el transporte y ser un poco original jaja
Haa... capto.. usar el mismo server y no otro programa... Igual, como decíamos al principio,, todo depende si se puede explotar el cliente, a lo mejor..... >:D
Como lo comentan sería como "actualizar el server.exe" es decir adulterar el server con la finalidad de provocar un fallo de programación no programado por parte del cliente (el cual estaría ubicado en el PC del atacante), de esta forma lograr tomar el control del program counter PC del programa redireccionado el flujo hacia alguna shellcode.
Saludos
Cita de: Vaagish en 16 Mayo 2014, 23:13 PM
La pregunta es:
La idea no es mejorar el servidor,, sino que meterse en la pc atacante.. nosotros sabemos que tiene un puerto abierto y una conexion establecida con nuestra maquina, entonces la idea seria pasar de "atacado" a "atacante" (La verdad que seria muy gracioso verle la cara de pasmado frente al pc, al "pseudohacker" que nos ha infectado jeje) Suena interesante..
Saludos!
sip, es exactamente eso, la verdad es que parece un reto poder llegar a realizar esto.
ami tambien me gustaria ver la cara del atacante cuando se de cuenta que se la han liao jajaj.
¿como podriamos realizar este reto?
algunas ideas??
Y.. se tendria que empezar haciendo pruebas locales,, bajate un RAT, infectate e intenta retro-infectarte jaja
Supongamos un caso real, lo primero que tendrias que saber es con que rat estas infectado, pues no todos van a tener las mismas vulnerabilidades.. yo no tengo tiempo ahora para esas pruebas,, pero podrias empezar por ahi..
Suerte!!
Tal como comenta Vaagish, se requiere conocer el RAT ya que de esta forma se pueden hacer pruebas locales sobre la seguridad del cliente servidor con ello ya abusar, de todas maneras siempre existirá la posibilidad de floodear las conexiones, para evitar ello se inventó el mecanismo de poner una clave al cliente/servidor para establecer la conexión, con algo de Ing. Inversa podrías obtener la clave y simular múltiples conexiones que podrían saturar el cliente, en si posibilidades hay muchas :)