Hack x Crack - Comunidad de Seguridad informática
Seguridad Informatica => Hacking => Mensaje iniciado por: MELTDOWN en Mayo 15, 2013, 08:35:44 pm
-
Hola familia de HxC... ;D
Haber imaginaos este caso:
Mi IP privada: 192.168.1.39
Mi MAC: 00:11:22:33:44
IP de otro PC de la red: 192.168.1.34
MAC del otro PC: 44:33:22:11:00
He conseguido hacer ArpPoisoning y he realizado el ataque MITM correctamente, y estoy sniffando su conexion... Veo que esta descargando un archivo del servidor 82.189.236.134 con puerto origen 1234 y puerto destino 4321 usando el protocolo TCP, he capturado el SEQ y el ACK y me dispongo a armar un paquete con scapy que tiene de payload troyano.exe (Hasta qui el escenario ahora mi pregunta)
Pregunta: ¿Que pasara con ese troyano? ;) Gracias de antemano.
-
Haber imaginaos este caso:
*A ver. :)
Cuando inyectes el paquete con tu troyano.exe, es altamente probable que el antivirus del host victima cante. Es como si estuviera descargando cualquier troyano de internet. Eso suponiendo que el troyano es detectable y esas cosas. Yo no soy el más adecuado para responder cómo indetectar un troyano.
Espero te sirva.
Un saludo.
-
Creo que no he formulado bien la pregunta a lo que me refiero es que si: ¿mi troyano se adjuntara al archivo que se esta descargando y no funcionaran ninguno de los dos (o si) si en su carpeta de descargas le aparecera nombre de troyano.exe o si directamente se ejecutara, y si se le descarga y tambien le inyecto el autorun.inf se autocorrera o no pasara nada con el autorun.inf. ? Eso a lo que me referia, se que es un poco hardcore pero tengo mucha curiosidad y jo no puedo probarlo porque solo tengo un ordenador ::) de todas maneras Gracias :D
-
Oh... ya entiendo. La verdad no te sabría decir porque como ya te dije, no conozco mucho sobre malware. En teoría te diría que sí, que el troyano se ejecutaría si éste está programado así (es decir una vez descargado), pero también hay que tener en cuenta la integridad de los paquetes y cómo es que los estás inyectando. La verdad nunca lo he hecho y ya me ha entrado la curiosidad xD.
Te recomiendo que te hagas unas VM para probar todo esto con calma.
-
Por desgracia no puedo hacerme una VM y porbarlo porque la maquina virtual usa esta ip 10.2.15 vamos que esta usando la conexion de el SO principal, sinos ja lo hubiera hecho :D
-
Claro que si lo puedes hacer. Coloca la conexión en modo bridged y cambia la dirección IP de la máquina virtual para que coincida con la dirección de tu LAN y ya está. :D
-
Me podrias dar un pdf o algo, hace tiempo que quiero saber como se hace, y he ido tocando por aqui y por aya pero no se como se hace :D Gracias de antemano
-
Vale ja esta ja lo he solucionado, voy a probarlo !!!! :D
-
Vale, me alegro. Pruebalo y nos comentas!
-
ja lo he hecho, y estoy decepcionado :'( no se puede enviar un archivo, o almenos no he sabido hacerlo, que pena :( tan buena que era la idea ....
-
¿si hiciste bien el arp poison? no sé... entería debería funcionar, de hecho es un ataque bien común.
-
cuando envio como payload esto: "hola esto es un payload" si que funciona, pero he intendado esto:
payload= "Ruta de archivo" y tambien esto payload="todo el codigo del virus" y el primero no se puede hacer y el segundo solo funciona si redirecciono en la maquina victima el codigo a un virus asi:
nc -l -p 666 -e C:\windows\system32\cmd.exe > archivo.exe
-
en teoría todo suele funcionar pero en la practica es lo que suele incordiar, por lo menos llegaste mas lejos que yo, yo solo llegue a hacer el arppoisoning, pero el payload nunca me funciono. :(
-
Mmm... :/
Ahí si me dejas sin respuesta MELTDOWN, la verdad no se me ocurre qué podría ser. ):
-
en teoría todo suele funcionar pero en la practica es lo que suele incordiar, por lo menos llegaste mas lejos que yo, yo solo llegue a hacer el arppoisoning, pero el payload nunca me funciono. :(
Es facil manfred lo unico que tienes que hacer es seguir paso por paso el cuaderno de HxC de scapy veras como si k te sale :D
-
Podrias intenta bindear un PDF ( como bindear archivos hay un cuaderno en el foro sobre ello ) y meterle el troyano en el pdf, tambien podrias hacer una URL infectada con SET y redireccionarla con DNS_Spoofing, pues es lo que se me ocurre no se los otros miembros que opinen
Saludos =)
twitter: @gr0ny
-
Podrias intenta bindear un PDF ( como bindear archivos hay un cuaderno en el foro sobre ello ) y meterle el troyano en el pdf, tambien podrias hacer una URL infectada con SET y redireccionarla con DNS_Spoofing, pues es lo que se me ocurre no se los otros miembros que opinen
Saludos =)
twitter: @gr0ny
Pero, eso no es lo que jo queria hace, eso ja se que se puede incluso puedo meterle el troyano a mano amigo porque es mi maquina virtual :D pero jo lo que quiero es inyectarle un troyano con scapy u otro programa que crea paquetes de todas maneras gracias :)
-
Es una idea muy buena y es la primera vez que la veo en el foro. Alguien tuvo tiempo de experimentar con esto. Si por ejemplo metemos un JMP al inicio de la aplicacion que reedireccione a nuestro codigo, que el mismo se ejecute y despues vuelva al inicio y realice su funcion normalmente.
Alguna persona con bastante experiencia podria confirmar si es posible hacer esto?