conexión de troyanos

[puntoBat]

Hola muy buenas, Tengo algunas dudas con las conexiones de los troyanos.

Cuando tenemos un troyano instalado en nuestra pc, mediante netstat podremos sacar la dirección del troyano, que es donde se conecta a nuestra pc.

Los troyanos segun he leido se conecta el pc infectado al pc atacante ¿no?,

si esto es asi, querria saber como podria inyectarle archivos, acceder o cualquier otra cosa al pc atacante, ya que este se supone que admitira todo lo que entre por el puerto que este establecida la conexion.

se podria realizar esto??

gracias

[engel lex]

la tarjeta de red y el Windows aceptan todo lo que entre por ese puerto, pero el programa deacarta todo lo queno le interesa... si fuera tan simple le no hubieran troyanos, sino que accedieran ylisto

[Vaagish]

Puede intentar crashearle el programa.. ponele que le inyecte cadenas muy largas,, o caracteres inesperados.. si el cliente esta mal programado capaz le hagas pasar un mal dia hasta que elimine tu conexión jaja no se,, eso se me ocurre a mi..

[.:UND3R:.]

Exploit, pero para ello requieres conocimientos sólidos de Ing. Inversa, saludos.

[Gh057]

interesante .:UND3R:. , te refieres a "actualizar" el troyano? suena genial XD

te consulto capaz es una burrada por no haber leido lo suficiente del material en este foro (falta de tiempo! una de las tantas cosas que tengo pendiente...) es factible entonces reemplazar algún nop o editar un call para inyectar en el stack, de esa forma usar el mismo proceso para algún  shellcode, por ejemplo?

de esa forma no sería rechazada nuestra conexión al origen.

el punto central sería el tamaño de la inyección, verdad?

[Vaagish]

interesante .:UND3R:. , te refieres a "actualizar" el troyano? suena genial XD

Mmmm... No creo que sea eso lo que dice .:UNDER:.

La pregunta es:

querria saber como podria inyectarle archivos, acceder o cualquier otra cosa al pc atacante, ya que este se supone que admitira todo lo que entre por el puerto que este establecida la conexion.

La idea no es mejorar el servidor,, sino que meterse en la pc atacante.. nosotros sabemos que tiene un puerto abierto y una conexion establecida con nuestra maquina, entonces la idea seria pasar de "atacado" a "atacante" (La verdad que seria muy gracioso verle la cara de pasmado frente al pc, al "pseudohacker" que nos ha infectado jeje) Suena interesante..

Saludos!

[Gh057]

me refería no a anularlo por explotar otro puerto del origen, que sería lo más lógico o intuitivo; sino a utilizar el mismo malware (en el servidor no sería el mismo proceso original, como si estuviera recibiendo datos genuinos de su troyano?) como pasarela o exploit para nuestro payload...

claro Vaagish esa es la idea XD pero mi ocurrencia era aprovechar el transporte y ser un poco original jaja

[Vaagish]

Haa... capto.. usar el mismo server y no otro programa... Igual, como decíamos al principio,, todo depende si se puede explotar el cliente, a lo mejor..... 

[.:UND3R:.]

Como lo comentan sería como "actualizar el server.exe" es decir adulterar el server con la finalidad de provocar un fallo de programación no programado por parte del cliente (el cual estaría ubicado en el PC del atacante), de esta forma lograr tomar el control del program counter PC del programa redireccionado el flujo hacia alguna shellcode.

Saludos

[puntoBat]

La pregunta es:
La idea no es mejorar el servidor,, sino que meterse en la pc atacante.. nosotros sabemos que tiene un puerto abierto y una conexion establecida con nuestra maquina, entonces la idea seria pasar de "atacado" a "atacante" (La verdad que seria muy gracioso verle la cara de pasmado frente al pc, al "pseudohacker" que nos ha infectado jeje) Suena interesante..

Saludos!

sip, es exactamente eso, la verdad es que parece un reto poder llegar a realizar esto.

ami tambien me gustaria ver la cara del atacante cuando se de cuenta que se la han liao jajaj.

¿como podriamos realizar este reto?

algunas ideas??