Consultorio TROYANOS: Todos tus problemas aquí (routers,puertos,No-ips...)

darknessfeatsunny
Visitante

« en: Marzo 02, 2007, 07:23:17 »

Taller de soluciones usando troyanos

Inauguro este tema para crear un espacio donde enfocar todos los problemas en la misma direccion. En el foro hay decenas de post pidiendo ayuda; los usuarios entran y buscan solucion para sus particulares problemas escribiendo un tema y explicondolo. Esto lo hacen unas 5 o 10 veces diarias, cada uno con su problema, y ni siquiera se interesan por buscar en el foro por si acaso su duda ya estuviera expuesta antes y quizos tuviera solucion en otro tema.

A partir de hoy, todas esas dudas vendron aquo, y todos postearemos aquo las posibles soluciones y experiencias para ayudarnos mutuamente.

Eso si, antes de postear una duda, debemos pasar por estos temas obligados, donde encontraremos muchas dudas anteriormente expuestas que se ha resuelto, en forma de tutoriales y guoas paso a paso:

Necesitas ser usuario para ver los enlaces Crear Usuario Hacer Sesion

Indice general de Troyanos

Necesitas ser usuario para ver los enlaces Crear Usuario Hacer Sesion

Tutorial "Troyanos desde 0"

Una vez revisados esos temas, si tu duda no ha sido resuelta, puedes escribirla aquo.

Los principales temas que se trataran de resolver seron:

- Configuracion del router en troyanos (Sin solucion)
- Configuracion de puertos
- Configuracion de servidores de troyanos
- Modos de infeccion

Si tienes alguna duda ademos de osta, tambion podros postearla aquo.

Un saludo a todos

DarknessFeatSunny


« Última modificación: Febrero 09, 2008, 08:11:29 por Angelus_7722 »	En línea

Borja_Hacker
Recien Llegado

Desconectado

Mensajes: 2

« Respuesta #1 en: Marzo 02, 2007, 01:39:13 »

Pues lo unico que me gustaria saber es el link de descarga directa del Optix Pro 1.3
gracias!!


	En línea

darknessfeatsunny
Visitante

« Respuesta #2 en: Marzo 02, 2007, 01:41:17 »

Lo tienes aqui mismo:

Necesitas ser usuario para ver los enlaces Crear Usuario Hacer Sesion

Indice general de Troyanos

Un saludo


	En línea

darknessfeatsunny
Visitante

Re: Consultorio TROYANOS: Todos tus problemas aquí (routers,puertos,No-ips...)

« Respuesta #3 en: Marzo 02, 2007, 03:40:58 »

Primer gran reto:

Este es el problema de todos los usuarios de router a la hora de utilizar troyanos de conexion inversa...

La intención es plantear el problema e intentar dar con la solucion entre todos.

Yo he de admitir que antes de tener router todos los troyanos me iban magnificos,pero desde que lo tengo es imposible conectar uno solo...alla voy...

Voy a explicar un poco e esquema.

El atacante se encuentra en una de las tres pc's (1,2 ó 3) y la victima ejecuta el servidor.exe desde la pc 4. La configuracion de ese server es la siguiente:

DNS/Host del Cliente => - MyDns.No-Ip.com
- 85.75.165.45
Puerto Remoto => 2000

Bien, con esta configuracion, la conexion sale del PC 4 hacia Internet. Y desde alli al servidor DNS de No-IP para buscar la direccion "MyDns.No-Ip.com", entonces el servidor DNS le dice que esa direccion es 85.75.165.45,por tanto la conexion ahora se dirige a es direccion IP que coincide con el router del atacante. y ahi termina la conexion...El router aunque tenga el puerto 2000 abierto no envia la conexion a ninguno de sus pcs en la red local...de hecho no sabria ni siquiera a cual dirigirse en caso de que el "atacante:cliente.exe" estuviera en la pc 1.

Es decir, el router se queda con la conexion y esta se cierra.... aq ue es esto debido???

Voy a explicar ahora los colores y demas del esquema:

Las IPs en azul son IPs Internas de la Intranet

Las IPs/Hosts en rojo son Externas y vistas desde internet

El router tiene una IP interna y otra externa, mientras que los PCs de la red solo tiene IP interna

Nos ponemos en los siguientes supuestos:

- El atacante es la Pc 1 y no tiene Firewall o El atacante es la Pc 2 ó 3 y tiene un firewall
- Sabemos que el router tiene el puerto correspondiente abierto
- La DNS esta bien configurada y actualizada con DUC.

Bueno, si me quieren hacer correciones las acepto,pero me gustaria que todos nos centraramos en resolver este escabroso problema...en el router hay cientos de configuraciones posibles,ademas de la apertura de puertos...Este problema nos afecta a todos para configurar, ya no solo troyanos, sino miles de aplicaciones que usen conexiones entrantes a nuestro pc...

Voy a dejar una preguntas en el aire:

- El emule recibe conexiones externas, y, si tenemos debidamente abiertos los puertos, funciona perfectamente...Por qué??

-Cuando el router recibe una conexion entrante, y en uno de los Pcs ay un puerto a la escucha (listenning), como sabe el router donde debe enviar la conexion entrante?? la envia a todos?? no la envia a ninguno???

Esto es casi una pregunta de Redes,lo se,pero la quiero dejar aqui,por que la resolvemos enfocada a programas troyano...

Un saludo y animos...


« Última modificación: Marzo 19, 2008, 07:29:28 por Angelus_7722 »	En línea

Saikou
Habitual

Desconectado

Mensajes: 341

« Respuesta #4 en: Marzo 02, 2007, 04:11:13 »

A ver...primero dejo un link muy util que si bien es para el emule describe como abrir puertos para distintas marcas de routers y firewalls

Necesitas ser usuario para ver los enlaces Crear Usuario Hacer Sesion

En mi caso tengo un router marca dlink y lo que debes hacer es abrir en una solapa de "server virtual" el puerto y tipo de protocolo (TCP/UDP) para la PC que tiene una Private IP numero 192.168.0.xxx (para tu ejemplo seria cualquiera de la 3 computadoras conectadas al router). Con ello se crea una "regla" que le dice al router donde enviar esa conexion que le llega.....
Por ultimo, si entre el router y tu PC tienes un firewall tambien debes autorizar esa conexion (esta vez en el firewall) para que entre finalmente en la PC cliente del troyano.

Dejo una imagen de esa solapa de configuracion para ver si se entiende mejor y para el resto de los router imagino que es similar...

Saludos


« Última modificación: Marzo 02, 2007, 04:20:39 por saikou »	En línea

marianomdq_1
Miembro

Desconectado

Mensajes: 66

« Respuesta #5 en: Marzo 02, 2007, 06:53:16 »


« Última modificación: Marzo 02, 2007, 06:59:40 por marianomdq_1 »	En línea

Necesitas ser usuario para ver los enlaces Crear Usuario Hacer Sesion

Photoshop OnLine

Necesitas ser usuario para ver los enlaces Crear Usuario Hacer Sesion

Los Simpsons OnLine

darknessfeatsunny
Visitante

« Respuesta #6 en: Marzo 02, 2007, 08:00:32 »

saikou, gracias,pero el problema que planteo no es como abrir los puertos,si no como cnseguir que se conecte...te aseguro,y puedes comprobarlo, qe con,por ejemplo el bifrost,no funciona...Tengo tu mismo router (creo que un modelo mas avanzado)...

Un saludo...


	En línea

Saikou
Habitual

Desconectado

Mensajes: 341

« Respuesta #7 en: Marzo 02, 2007, 08:22:38 »


« Última modificación: Marzo 08, 2007, 10:53:45 por saikou »	En línea

darknessfeatsunny
Visitante

« Respuesta #8 en: Marzo 03, 2007, 09:34:39 »

Mira te dejo aqui unas imagenes de mi configuracion...como ves esta todo correctamente...pero es imposible conectar...nunca lo he consegido desde que tengo el router...y no se porque...si entiendes de esto y qieres mas imagenes de alguna parte del router dimelo y te las subo...pero creo que yo ya lo probe todo (excepto la configuracion que funciona)..je:

Necesitas ser usuario para ver los enlaces Crear Usuario Hacer Sesion

Imagen 1

Necesitas ser usuario para ver los enlaces Crear Usuario Hacer Sesion

Imagen 2

Necesitas ser usuario para ver los enlaces Crear Usuario Hacer Sesion

Imagen 3

Necesitas ser usuario para ver los enlaces Crear Usuario Hacer Sesion

Imagen 4

Necesitas ser usuario para ver los enlaces Crear Usuario Hacer Sesion

Imagen 5

Necesitas ser usuario para ver los enlaces Crear Usuario Hacer Sesion

Imagen 6

Necesitas ser usuario para ver los enlaces Crear Usuario Hacer Sesion

Imagen 7

Un saludo


	En línea

Saikou
Habitual

Desconectado

Mensajes: 341

« Respuesta #9 en: Marzo 03, 2007, 09:51:13 »

El problema esta en la imagen 2...en DHCP server.

El Starting Ip Address y el Ending Ip Address debe ser el mismo (en tu caso 192.168.1.2 que es la ip que tienes configurada para la regla en la imagen 3 / Advanced-Virtual Server ) porque de lo contrario lo va cambiando del 2 al 254 y por eso no conecta porque sigue siendo un rango de IPs.

Dejo las instrucciones originales.... hay que crear una Static DHCP y dar click en CLONE.

How do I configure Static DHCP on my router?

NOTE: When creating a Static DHCP entry, the IP address that you choose to have assigned needs to be in the range of the DHCP scope. Entries created with IP addresses outside of this range will not take effect.

Step 1 Open your web browser and enter the IP address of your D-Link router (192.168.0.1). Enter username (admin) and your password (blank by default).

Step 2 Click on the Home tab and then click DHCP on the left column.

Step 3 Under the Static DHCP section next to DHCP Client, select one of the DHCP clients from the list and click Clone.

Step 4 Select Enabled and enter the IP address you would like this client to always obtain.

Step 5 Verify that the Name and MAC Address fields have the correct Hostname and MAC address for the client and click Apply. If the Hostname or MAC address is not correct, Release and Renew the IP address on the client and then refresh the DHCP page.

Saludos


« Última modificación: Marzo 03, 2007, 02:17:38 por saikou »	En línea

darknessfeatsunny
Visitante

« Respuesta #10 en: Marzo 03, 2007, 09:52:08 »

voy a probar,aora mismo te cuento...


	En línea

darknessfeatsunny
Visitante

« Respuesta #11 en: Marzo 03, 2007, 10:07:39 »


	En línea

darknessfeatsunny
Visitante

« Respuesta #12 en: Marzo 03, 2007, 10:19:23 »

Cita de: saikou en Marzo 03, 2007, 09:51:13

Nada,lo he puesto igual y nada...no me ha funcionado...ademas,si fuera ese el problema,con otras aplicaciones como el emule,tambien tendria problemas...pero me van bien...por que??

jejje...es desconcertante...

PD: Saikou te e enviado un IM...


	En línea

GizMo33Cat
Recien Llegado

Desconectado

Mensajes: 2

« Respuesta #13 en: Marzo 03, 2007, 10:30:06 »

Bueno, yo expuse mi problema en el siguiente link:

Necesitas ser usuario para ver los enlaces Crear Usuario Hacer Sesion

http://foro.el-hacker.com/index.php/topic,87074.0.html

Y decido "mudarme" aquí ya que DarknessFeatSunny decidió inagurar este taller de soluciones que por cierto, muy buena idea. Sorry por no haberlo visto antes, aunque os aseguro que por más que estuve mirando no vi nada parecido a mis problemas...

Bien mi problema como vereis es muy similar por no decir lo mismo a DarknessFeatSunny, así que compartimos problema...

Bien, añadiré que yo plantee probar el problema poniendo el router en monopuesto, y así no me daba ningun problema el asunto... así que eso demostraba que mi problema estaba en la configuracion del router... He probado ahora nuevas cosas bastante curiosas, decidí snifar la red con Ethereal y los resultados stuvieron interesantes; Las entradas a mi router (192.168.1.1) por el puerto 81 (puerto por defecto con el cual configuré el bifrost) se enviaban a mi pc (192.168.1.2) por el puerto 4520/4521/4522 y ya no miré con detalle si algún puerto más... Así que esto me deja de piedra por ke parece ser ke en teoria lo debería recibir mi PC... :S pero no lo debería recibir al mismo puerto 81 ??

Ya como que sí me he perdido con el tema, por que a mi estos temas de redes la verdad que voy verde jajaja... pero bueno... A la interesante respuesta de Sikou, ke desde aki le agradezco, te diré ke no es mi caso, me icistes dudar cuando lo planteastes y miré; el caso es que lo tengo bien cofigurado tanto desde el protocolo tpc/ip (en el PC) como desde el router que parece ser que es algo automaticos... Lo configuré (en su dia) tal y como me indicaba la web
Necesitas ser usuario para ver los enlaces Crear Usuario Hacer Sesion

adslzone.net

donde habia un ejemplo detallado de mi router (countred 536+). Hoy comprobándolo de nuevo descubrí en el foro que se planteaba la configuración de lo mismo;
Necesitas ser usuario para ver los enlaces Crear Usuario Hacer Sesion

http://www.adslzone.net/postt15187.html

y... TODO CORRECTO.

Aqui les muestro:

Necesitas ser usuario para ver los enlaces Crear Usuario Hacer Sesion

http://usuarios.lycos.es/gizmo33cat/posvale2.jpg

Necesitas ser usuario para ver los enlaces Crear Usuario Hacer Sesion

http://usuarios.lycos.es/gizmo33cat/posvale3.jpg

--> Las Mac's correspondientes con las ip's privada es correcta...

La configuración de la NAT la tengo asi de chula:

Necesitas ser usuario para ver los enlaces Crear Usuario Hacer Sesion

http://usuarios.lycos.es/gizmo33cat/puesvale.jpg

Para arrojar luz al temika, como dije en mi primer post en el tema, (link puesto arriba), sigo sin saber para que sirve el "Port Triggering" y que no sé si puede tener algo que ver ya que en adlszone lo definen de forma muy interesante en:

Necesitas ser usuario para ver los enlaces Crear Usuario Hacer Sesion

http://www.adslzone.net/tutorial-44.8.html

Enga hasta akí todo de momento, si le interesa imagen de los resultados del snifer, decirme algo...
saludos.


« Última modificación: Junio 18, 2008, 05:46:03 por ManCuerTex (ViPeR) »	En línea

Saikou
Habitual

Desconectado

Mensajes: 341

« Respuesta #14 en: Marzo 03, 2007, 01:00:58 »


« Última modificación: Marzo 03, 2007, 02:50:53 por saikou »	En línea

LionHeart12
Gran Colaborador

Desconectado

Mensajes: 1183

« Respuesta #15 en: Marzo 03, 2007, 02:53:01 »

No logro autoinfectarme con el Bifrost 1.2.1 !!... cree un server de esta manera

Necesitas ser usuario para ver los enlaces Crear Usuario Hacer Sesion

Imagen 1

Este es mi no-ip

Necesitas ser usuario para ver los enlaces Crear Usuario Hacer Sesion

Imagen 2

y aqui los mas dificil creo.. mi router

Necesitas ser usuario para ver los enlaces Crear Usuario Hacer Sesion

Imagen 3

El puerto 2000 q creo q es el q use para crear el server esta abierto.
El no-ip dice que esta funcionando sino me equivoco.. asi que que puede ser??
Porq ejecuto el server.exe y deberia aparecerme un cartelito como "MSN" diciendo que se infecto la victima no??

PD: CERO ANTIVIRUS TENGO POR SI LAS DUDAS


« Última modificación: Marzo 04, 2007, 11:21:47 por DarknessFeatSunny »	En línea

camelot
Habitual

Desconectado

Mensajes: 218

Los lideres de la guerra liderean a la muerte

« Respuesta #16 en: Marzo 03, 2007, 08:12:54 »

primer troyano que logro configurar exitosamente es el poison ivy 2.1.1

todo va bien solo que tengo un ligero problema, que ya es muy detectable por los antivirus, necesisto sacver si hay una forma de hacerlo pasar por el mensagero sin que la victima se de cunta ya lo logre pasar exitosamente por hotmail sin problemas, pero lo quiero pasar directo


	En línea

LionHeart12
Gran Colaborador

Desconectado

Mensajes: 1183

« Respuesta #17 en: Marzo 04, 2007, 02:08:01 »

Hay miles de maneras solo tienes que usar un poco la imaginacion y algo de inggenieria social.. te recomiendo este post aqui esta todo y si no lo aprendes d ahi no lo aprenderas de ningun lugar Grin

Necesitas ser usuario para ver los enlaces Crear Usuario Hacer Sesion

POST


	En línea

LionHeart12
Gran Colaborador

Desconectado

Mensajes: 1183

« Respuesta #18 en: Marzo 05, 2007, 07:33:55 »

Les cuento como logre autoinfectarme a pedido de DarknessFeatSunny Cheesy

.
Pues en este post ya vieron como cual es mi router cuales eran mis problemas y demas. o unico que cambie para lograr infectarme es que en vez de usar el puerto 2000 (con el cual no ocurria nada aunq estuviese abierto) use el 81 (tambien abierto por mi)... cuando cambie el puerto del server listo !! problema resuelto estaba bien camuflado y el AVG no me lo detecto, ahora estoy intentando lograr una conexion exterior pero no puedo aun nose si por alguna falla entre router o si mis victimas lo detectan con el AV Embarrassed


	En línea

assesain
Miembro

Desconectado

Mensajes: 65

preguntar es el camino hacia la sabiduria

« Respuesta #19 en: Marzo 05, 2007, 08:43:39 »

creo tener el mismo problema k vosotros y me keda la duda solo consigo autoinfectarme si pongo mi ip privada si pongo mi cuenta en no-ip no funciona algien me puede decir xk?? gracias


	En línea

GizMo33Cat
Recien Llegado

Desconectado

Mensajes: 2

« Respuesta #20 en: Marzo 05, 2007, 09:47:12 »


	En línea

LionHeart12
Gran Colaborador

Desconectado

Mensajes: 1183

« Respuesta #21 en: Marzo 05, 2007, 10:32:22 »

Citar

creo tener el mismo problema k vosotros y me keda la duda solo consigo autoinfectarme si pongo mi ip privada si pongo mi cuenta en no-ip no funciona algien me puede decir xk?? gracias

Pues no es exactamente el mismo problema... el server que me infecto tiene la direccion del NO-IP. Tal vez yo no tenga victimas tan solo porq nadie lo ejecuto mi server Cheesy


	En línea

Saikou
Habitual

Desconectado

Mensajes: 341

« Respuesta #22 en: Marzo 05, 2007, 12:00:00 »


	En línea

LionHeart12
Gran Colaborador

Desconectado

Mensajes: 1183

« Respuesta #23 en: Marzo 06, 2007, 03:55:35 »

eh corregido el no-ip y no me puedo autoinfectar Undecided

algun especialista en routers?? xD


	En línea

darknessfeatsunny
Visitante

« Respuesta #24 en: Marzo 08, 2007, 08:29:44 »

Cita de: LionHeart12 en Marzo 06, 2007, 03:55:35

eh corregido el no-ip y no me puedo autoinfectar Undecided

algun especialista en routers?? xD

Olvida la autoinfeccion,no funciona con la ip externa, he estado estudiando los casos y he resuelto el problema gracias a saikou y a Z0N3_0FF.si has hecho todo como te han indicado la infeccion sera exitosa,pero la autoinfeccion solo funciona con IP internas...esto lo explicare en los tutoriales cuando yege el momento,hasta ahora solo puedo decir que el problema esta resuelto...

Un saludo chicos


	En línea

Páginas: [1] 2 3 4 5 6 7 8 9 10 11 ... 19

Comunidad Underground Hispana \| Hack Novato \| Troyanos y virus (Moderador: Angelus_7722) \| Tema: Consultorio TROYANOS: Todos tus problemas aquí (routers,puertos,No-ips...)	« anterior próximo »

	Bienvenido(a), Visitante. Favor de ingresar o registrarse. ¿Perdiste tu email de activación? - Noviembre 18, 2008, 10:28:42