Mensajes

Vaya Karman, pedazo de código. Virtualizar código es algo que está en otro nivel además añadir soporte a las instrucciones necesarias puede llegar a ser un quebradero de cabeza. Sin duda un trabajo increíble

[WMI:]

WMI:

Código (vb) [Seleccionar] Expandir

Function ResolveIP(strComputer)
Dim wmiQuery : wmiQuery = "Select * From Win32_PingStatus Where Address = '" & strComputer & "'"

Dim objWMIService : Set objWMIService = GetObject("winmgmts:\\.\root\cimv2")
Dim objPing : Set objPing = objWMIService.ExecQuery(wmiQuery)
Dim objStatus
For Each objStatus in objPing
    If IsNull(objStatus.StatusCode) Or objStatus.Statuscode<>0 Then
        ResolveIP = "Computer is Unreachable!"
    Else
        ResolveIP = objStatus.ProtocolAddress
    End If
Next
End Function
http://www.visualbasicscript.com/Ping-WMI-amp-NonWMI-Versions-Functions-amp-Simple-Connectivity-Monitor-m42535.aspx

En teoría no son necesarios derechos de administrador, pero por supuesto WMI tiene que estar activado. A mí me funcionó perfectamente en W$7x86 aunque lo ejecuté con privilegios.

Tenía el VB abierto y he decidido modificarla a mi gusto, espero no te moleste Y gracias por los créditos

Código (vb) [Seleccionar] Expandir


'NTDLL
Private Declare Function RtlGetVersion Lib "NTDLL" (ByRef lpVersionInformation As Long) As Long

Public Function GetSecInfo(ByVal Info As String) As String
    Dim oObj        As Object
    Dim tOSVw(&H54) As Long
   
    tOSVw(0) = &H54 * &H4
    Call RtlGetVersion(tOSVw(0))
   
    For Each oObj In GetObject("winmgmts:\\.\root\SecurityCenter" & IIf((tOSVw(1) * 10) + tOSVw(2) > 60, "2", "")).ExecQuery("Select DisplayName from " & Info & "Product")
        GetSecInfo = CStr(oObj.DisplayName)
    Next oObj
   
    Set oObj = Nothing
End Function


Por 50$ te envío uno recién codeado.

Me lo añado a marcadores puede serme muy útil en el futuro. Gracias

[[Zero]]

Una lectura muy interesante que me compartió [Zero]:

Código [Seleccionar] Expandir

http://computervirus.uw.hu/ch11.html

Un fichero .mp3 perfectamente reproducible puede contener código malicioso. Ya sea explotando un bug de un reproductor mp3 específico o abusando de la especificación del formato mp3 haciendo que un .mp3 sea un ejecutable válido.

Esto último es muy interesante ya que abusa del hecho de que la cabecera mp3 puede estar en cualquier posición del fichero así pues tú generas un PE que el S.O puede ejecutar con normalidad y al final unes el fichero mp3 válido. Si cambias la extensión del ejecutable a mp3 cualquier reproductor hará sonar la música, pero si la cambias a una extensión ejecutable el loader de W$ ejecutará el código del PE.

La gente que distribuye malware en forma de mp3 lo que hace es adjuntar junto al archivo mp3 "legítimo" y reproducible un fichero .lnk (un enlace de W$) en plan "Click aquí" que lo que hará será ejecutar el fichero mp3 como si fuese un fichero ejecutable usando una linea de cmd que ya te dejo a ti descubrirla como tarea.

Un saludo, espero haberme explicado correctamente

[+Info:]

Nadie nace sabiendo. El puerto es indiferente. Hay algunos puertos reservados para distintos tipos de protocolos (p.e: http -> 80). Pero eso no impide que se use para cualquier otra función, aún así puede que el puerto esté ya bindeado y no puedas usarlo.

+Info:

http://es.wikipedia.org/wiki/Puerto_de_red

[netcat]

En teoría este código funciona bajo cualquier SO en el que puedas instalar el intérprete Python.
Es posible que ningún AV lo detecte, pero has de saber que cualquier Firewall saltaría en el intento de conexión remota.

Respecto a la forma de uso: Esto se ejecuta en el ordenador del cual quieres obtener la shell y desde donde se controla ésta (es decir, el 'HOST') tienes que tener algo para enviar los comandos. Puedes hacerte tu mismo otro script en Python o bien usar el netcat que es una herramienta muy útil en estos casos. Tan sólo tienes que bindear el puerto 'PORT' y empezar a enviar comandos.