Foro de elhacker.net

Programación => Scripting => Mensaje iniciado por: W17CH3R en 28 Marzo 2020, 11:58 am


Título: [APORTE] [BATCH] [ACTUALIZADO] Ver conexiones activas y puertos de escuha
Publicado por: W17CH3R en 28 Marzo 2020, 11:58 am
Hola a todos/as, quería compartir un batch que hice hace 3 años, lo que hace el primer Batch, es realizar un netstat de las conexiones establecidas y que procesos estan ejecutandose, y son enfocados en análisis de red local y (si puedo encontrarlo, prepararlo, lo compartire también de otro batch pero de puertos de escucha entrada y salida del firewall en tiempo real).

Funciona tanto para arquitectura de tanto de x86 como de x64 (No lo probado en sistemas de 16 bits, así que no sabría decir)

Capturas:

(https://i.imgur.com/ogfYlHZ.png)

(https://i.imgur.com/RgLtcb1.png)

Aquí el código para ver las conexiones establecidas, que creara en el directorio que se encuentre, un informe txt sobre las conexiones establecidas

Código:
:: Estadisticas de NETSTAT, informe de conexiones establecidas.

@echo off
mode con cols=76 lines=8

ECHO NETSTAT esta recopilando datos de todas las conexiones establecidas.
echo el informe se esta creando en el archivo ConexionesEstablecidas.txt
echo.
echo Comienzo:
time /t

start "NetstatLog" /min cmd /c netstat -ano 5 ^>ConexionesEstablecidas.txt
pause>nul|set /p "=Presiona cualquier tecla para interrumpir el analisis ... "
taskkill /im netstat.exe /f >nul

:: by W17CH3R.


Acepto recomendaciones para mejorarlo y perfeccionarlo.

Saludos. :)


ACTUALIZADO: 28/03/2020 - 18:16

Después de estar de pruebas, ya conseguí hacer funcionar a la perfeción el segundo batch, para que funcione hay que tener en cuenta algo importante, que jamas debe ser ejecutado del original .bat, solo funcionara si le creamos un acceso directo y le cambiamos los permisos a administrador tal como se ve en la siguiente captura:

(https://i.imgur.com/6tMaWpe.png)


Y una vez tengamos el acceso directo del Batch con permisos de administrador, lo ejecutaremos, y aparecera lo siguiente:

(https://i.imgur.com/EkaS29O.png)

Nos pedira la contraseña de nuestro usuario con permisos de administrador, para poderlo ejecutar, ya que para ver que intrusos tenemos en la red y ver nuestros puertos en el archivo, es obligatorio tener los permisos de administrador.

Al completarse, creara en nuestro escritorio, un log con el informe tal como se ve en el siguiente screenshot:

(https://i.imgur.com/PtKU9Ui.png)

Y aquí abajo comparto el codigo final del resultado del segundo batch y gracias al usuario tincopasan por la idea de incluir los intrusos en el log  ;D

Código:
:: Este batch tambien fue posible gracias a la idea del usuario @tincopasan para los intrusos
@echo off
mode con cols=70
cls
echo puertos abiertos a la escucha...
echo analizando intrusos...
echo Se necesitara introducir su contraseña para continuar...
echo.
runas /user:usuario  "netstat -ab"
start "NetstatLog" /min cmd /c netstat -ab 5 ^>C:\Users\usuario\Desktop\log.txt
pause
:: by W17CH3R

Título: Re: [APORTE][BATCH] Ver conexiones activas y puertos de escuha
Publicado por: tincopasan en 28 Marzo 2020, 13:43 pm
podrías agregar B que es una forma de saber quien inicio la conexión y ahí ver si es un posible virus
así:
Código
  1. start "NetstatLog" /min cmd /c netstat -anob 5 ^>ConexionesEstablecidas.txt
  2.  

Título: Re: [APORTE][BATCH] Ver conexiones activas y puertos de escuha
Publicado por: W17CH3R en 28 Marzo 2020, 13:53 pm
Cita de: tincopasan en 28 Marzo 2020, 13:43 pm
podrías agregar B que es una forma de saber quien inicio la conexión y ahí ver si es un posible virus
así:
Código
  1. start "NetstatLog" /min cmd /c netstat -anob 5 ^>ConexionesEstablecidas.txt
  2.  
Gracias, precisamente en ello estaba trabajando, para compartirlo con el otro batch más completo, pero necesita elevación de privilegios de administrador para que tanto el batch como el notepad muestre el contenido.

Aquí dejo el codigo del otro batch que mencione en el post, que estaba preparando y me estaba dando alguna pega para ejecutarlo con los permisos de administrador (con  el firewall off como si nada)

Código:
:: Estadisticas de NETSTAT, puertos la escucha.
:: SOLO FUNCIONA con extensión .bat igual que el anterior batch 
:: Dato importante solo puede ejecutarse con permisos de administrador

@echo off
mode con cols=70 
cls
echo Puertos abiertos a la escucha...
echo El batch analizara puertos durante 10 segundos, paciencia.
echo.
cmd /K NETSTAT -NAOB -P TCP 04|FINDSTR /C:ESTABLISHED
 ping -n 8 127.0.0.1>nul
echo.
echo Ejecutado a las :
time /t

start "NetstatLog" /min cmd /c netstat -nAOb 10 ^>Puertos_establecidos.txt
pause>nul|set /p "=Presiona cualquier tecla para salir "
taskkill /im netstat.exe /f >nul


:: by W17CH3R.

capturas al ejecutarlo como run as administrator: el terminal queda en un bucle sin ejecutarse correctamente y crea el notepad con lo que se en la siguiente imagen:


(https://i.imgur.com/07kr3IQ.png)

EDITO:

Casi lo consigo, al parecer la clave para su funcionamiento esta en el comando de runas, al menos a hecho funcionar el terminal sin entrar en un bucle, ahora solo queda que el log que crea, tenga privilegios de administrador para mostrar el contenido.

Capturas:
(https://i.imgur.com/BFwCICw.png)

codigo actualizado:

Código:
:: Estadisticas de NETSTAT, puertos la escucha y gracias a @tincopasan por la idea de ver quien inicio la conexion. 
:: SOLO FUNCIONA con extensión .bat igual que el anterior batch 
:: No es necesario ejecutarlo como administrador, gracias al comando runas
:: En cambio el log.txt si necesita una elevación de permisos para mostrar el contenido del batch


@echo off
mode con cols=70 
cls
echo Puertos abiertos a la escucha...
echo El batch analizara puertos durante 10 segundos, paciencia.
echo.
runas /env /user:usuario\administrator cmd /K NETSTAT -NAOB -P TCP 04|FINDSTR /C:ESTABLISHED
 ping -n 8 127.0.0.1>nul
echo.
echo Ejecutado a las :
time /t

start "NetstatLog" /min cmd /c netstat -naob 10 ^>Puertos_establecidos.txt
pause>nul|set /p "=Presiona cualquier tecla para salir "
taskkill /im netstat.exe /f >nul


:: by W17CH3R.

Título: Re: [APORTE] [BATCH] [ACTUALIZADO] Ver conexiones activas y puertos de escuha
Publicado por: .:Xx4NG3LxX:. en 28 Marzo 2020, 18:32 pm
Vaya!  :o para tener 3 años sin tocar Batch, esta muy bien, demasiado diría yo. Te felicito!!

Título: Re: [APORTE] [BATCH] [ACTUALIZADO] Ver conexiones activas y puertos de escuha
Publicado por: W17CH3R en 28 Marzo 2020, 23:15 pm
Cita de: .:Xx4NG3LxX:. en 28 Marzo 2020, 18:32 pm
Vaya!  :o para tener 3 años sin tocar Batch, esta muy bien, demasiado diría yo. Te felicito!!

Me dio mucha guerra, pero de tanto insistir, por fin pude dar con la solución.

También hay que agradecer a tincopasan por su idea, de incluir los intrusos en el log.  :)

Título: Re: [APORTE] [BATCH] [ACTUALIZADO] Ver conexiones activas y puertos de escuha
Publicado por: .:Xx4NG3LxX:. en 29 Marzo 2020, 06:02 am
Algunas veces el script mas corto puede ser el mas tedioso.

Título: Re: [APORTE] [BATCH] [ACTUALIZADO] Ver conexiones activas y puertos de escuha
Publicado por: W17CH3R en 29 Marzo 2020, 15:40 pm
Cita de: .:Xx4NG3LxX:. en 29 Marzo 2020, 06:02 am
Algunas veces el script mas corto puede ser el mas tedioso.

El proximo aporte, que estoy preparando, sera más extenso pero en vez de Batch, sera de Bash Shell Script, también nunca se cuando podre crear el aporte, ya que sera mucho más avanzado para sistemas Linux.

No lo se cuando lo aportare, pero tengo que decir que sera en breve (puede que hoy, o mañana).

saludos.  :)


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines