| WWW.ИСХОДНИКИ.РУ | cpp.sources.ru | |
| java.sources.ru | web.sources.ru | soft.sources.ru |
| jdbc.sources.ru | asp.sources.ru | api.sources.ru |
Форум на исходниках
Delphi
Клиент-сервер
|
Форум на исходниках
Delphi
Клиент-сервер
| |||||||||
| Автор | Тема: Клиент-сервер |
| RomaQ |
опубликован 16-01-2002 16:25 MSK  
Привет всем кул-хацкерам! Можете по-подробнее про подседки рассказать. Пишу троян на основе TClientSocket & TServerSocket возможно ли там вообще такое, как вхождение в подсети? А то троянить могу тольку Dial-Up. А свой родной салон никак. Вот например, идёт IP www.estpak.ee (Это предоставитель услуг кабельного инета) , далее идёт сервак уже в салоне, и IP компа. Вобщем три IP. Чё с ними делать? Заранее спасибо всем. |
| repairman |
опубликован 16-01-2002 17:44 MSK
А чо твой троян делать собирается ? От этого зависит что тебе от сетки надо... |
| RomaQ |
опубликован 16-01-2002 22:40 MSK
Он посылает команды, сервак анализирует и выполняет определённые функции. Похоже на удалённое администрирование. Вот. |
| repairman |
опубликован 17-01-2002 11:45 MSK
То есть есть комп с загруженным трояном, который сидит и ждет команд извне, к примеру из интернет, и есть злой хацкер, который может посылать некие команды этому трояну, заставляя его выполнить нечто... Я правильно понял? Конкретно - где сервер, где клиент, что и сколько собираешься посылать... |
| RomaQ |
опубликован 19-01-2002 19:32 MSK
И так, клиент на твоём компе, сервер на компе жертвы. Посылаешь например, dir , он высылыает список каталогов, restart перезагружает комп. Например я даю его под фидом fotos.exe с иконкой Zip архива, когда его запускают, он высылает мне на мыло IP жертвы. |
| RomaQ |
опубликован 21-01-2002 14:09 MSK
ну так что делать? |
| repairman |
опубликован 21-01-2002 15:05 MSK
Ну, тут возможно несколько вариантов расположения сервера: 1) Лох на диалапе 2) Профи на диалапе 3) Лох на выделенке 4) Профи на выделенке 5) Все равно кто за брендмауром --------------------------------- 1) Естественно никакой защиты не стоит, по тому как он даже не знает как пишется слово Internet и постоянно мучается вопросом "Я еще в Интернет или уже нет?"... Его IP доступен напрямую из внешней сети, излишняя активность компьютера по траффику подозрений не вызывает, с удовольствием кликает по всем баннерам, что у него появляются и подписыватся на все мыслимые и немыслимые расылки по e-mail и пр. и пр. В таком бардаке полное раздолье, за исключением одного НО - IP динамический, т.е. при каждом коннекте он новый. Ежели успеешь за один коннект сделать свое грязное дело, то ок и никто этого не заметит... Ставишь сервер, ну что-нибудь из набора FastNet, и рулишь... Сервер при коннекте соединяется с твоей машиной и высылает свой IP, далее открывает какой либо порт и слушает команды... Какие команды и как их передать - дело техники, хошь TCP, хошь UDP... 2) С этим фокус скорее всего не пройдет, т.к. фаервол у него на компе тут же покажет пальцем на задачу, файл и по какому IP и порту она собралась в интеренет... В лучшем случае не получишь ничего, в худшем наживешь неприятностей - по IP тебя можно найти, до фамилии и адреса, у провайдеров всегда логи ведутся... 3) То же что и 1, но IP фиксирован, никого искать не надо, да и компьютер часто не выключают, так что можно порулить и в отсутствие хозяина... Одно НО, если вдруг он заподозрит что-то неладное и у него хватит словарного запаса, чтобы объяснить своему провайдеру, что же все-таки происходит, то у его провайдера в 90% случаев ведется лог... Последствия см. п2. 4) См. п.2 5) Чаще всего провайдеры работающие по выделенке своим юзерам IP доступного из интернет не дают... И самим спокойнее и юзеры не балуют... Стоит бренмауэр, то есть штука, которая знает, что инициатором транзакции (сеанса обмена) всегда является комп внутри сети и на каждый посланный пакет за ее пределы должен прийти всего один ответ.. Все что ломется с наружи непущает ни под каким предлогом, и в лог пишет, если сисадм жаждет мести... Послать-то жертва IP сможет, да вот IP будет липовый, внутренний для их подсетки и командный пакет ты ему послать не сможешь, потому как инициатор транзакции будет компьютер извне... Можно команды передавать по email... Ну тогда не понятно как сделать, чтобы юзер эти "письма" вдруг не причитал... В общем идея удаленного управления безнаказанно может пройти только на пп.1 и 3, |
| RomaQ |
опубликован 22-01-2002 14:14 MSK
Vot-Vot! Spasibo. U menja imenno 5-ij variant. Ja uzhe davno dumal administrirovat' pri pomoshi E-Mail. No kak loh mozhet pisma prochitat'? Na primer koimmandy prihodjat na server@trojan.com. Pri pomoshi POP3 ih prochitat', na primer kommanda v Subject'e i udalit eto soobshenie, konechno esli ne lamak za kompom, to etu lavochku tut zhe prikrojut. |
| repairman |
опубликован 22-01-2002 16:48 MSK
Oops... Как ты собираешься забирать почту с внешнего POP3? Эта лазейка там тоже прикрыта...(ну или почти всегда прикрыта) Комп внутри может только HTTP запросы через стоящий где-то рядом в этой же сети прокси-сервер кидать или почту отправлять через местный почтовик или получать ее через него же... Доступ наружу закрыт намертво ! Все обращения происходят только по локальным адресам, человек может годами работать и не узнать какой у него IP снаружи... да ему это и не надо... Так что посылать можно письма только жертве лично, чтобы оно дошло... Вопрос в том как сделать, чтобы троян их получил, а юзер - нет... Кстати, если компания серьезная - то лог почтовый бежит...Типа вот этого. Это три минуты работы нашего сервака (WinRoutePro 4.1.25)... (адреса намеренно почиканы...;-)) ------------------------cut----------------- [14/Jan/2002 12:15:48] SMTP Server: message (283988 bytes) received from <oksana@xxxx.yyyy.ru> to <info@videozzzzz.ru> put in outgoing mail queue [14/Jan/2002 12:16:36] SMTP Server: message (188419 bytes) received from <oksana@xxxx.yyyy.ru> to <top10@videosssss.ru> put in outgoing mail queue [14/Jan/2002 12:17:08] POP3 download: 1 message (2504 bytes) downloaded from server "192.168.0.3", with username "mmmnnn_18#195.XXX.YYY.151" [14/Jan/2002 12:17:12] POP3 download: 2 messages (24137 bytes) downloaded from server "192.168.0.3", with username "mmmnnn_9#195.XXX.YYY.151" [14/Jan/2002 12:17:36] POP3 download: 2 messages (1189608 bytes) downloaded from server "192.168.0.3", with username "mmmnnn_13#195.XXX.YYY.151" [14/Jan/2002 12:18:02] SMTP Server: message (192612 bytes) received from <oksana@xxxx.yyyy.ru> to <charts@interyyyy.ru> put in outgoing mail queue [14/Jan/2002 12:18:09] POP3 download: 38 messages (460972 bytes) downloaded from server "192.168.0.3", with username "mmmnnn_6#195.XXX.YYY.151" [14/Jan/2002 12:18:14] POP3 download: 2 messages (3391 bytes) downloaded from server "192.168.0.3", with username "mmmnnn_1#195.XXX.YYY.151" [14/Jan/2002 12:18:25] SMTP Server: message (94952 bytes) received from <oksana@xxxx.yyyy.ru> to <filatov@eraxxx.ru> put in outgoing mail queue -------------------cut----------------------- Стоит один сервак у меня под ногами (10.0.2.7) он принимает и передает почту и является прокси, дальше все сливает-получает на-с 192.168.0.3 (это уже другая подсеть сервер находится через дорогу в другом доме...) у того тоже есть POP,SMTP и HTTP-Proxy, дальше проследить не удается...По некоторым косвенным признакам у них есть роутер 192.168.0.74, через который .3 с интернетом общается... Двойная буферизация... Да, а на почтовике у меня под ногами стоит MailScan, который тороянов и вирусов под корень рубит и мне на почтовый ящик жалуется... Дальше по заголовку письма ищем гада, что трояна прислал... Работа такая...(точнее одна из обязанностей)... |
| RomaQ |
опубликован 24-01-2002 16:47 MSK
А если админ лох и не смотрит логи? У меня почта на малоизвестном серваке. |
| repairman |
опубликован 24-01-2002 19:12 MSK
Ну тут все на "авось"... Либо повезет, либо нет... Я же не сказал что не получится... Есть крутые компании, в которых стоит брэндмауэр и..... открыт роутинг пакетов... Т.е. напрямую не попадешь, а через роутер можно всю их сетку почикать, вместе с сервером и базами данных... Баксов так тысяч на .....дцать. В общем делов натворить можно, тока это уголовщина... Не советую... |
| RomaQ |
опубликован 27-01-2002 22:52 MSK
Понятно... А что же всё-таки делать? Какой-то выход наверняка есть? Я конечно понима, что не первый об этом спрашиваю (надоели наверное уже :)). Но уж узнать негде. Наверно в Инете где-нибудь можно найти. Но у меня нет к ниму доступа. В салон приходится ходить. :(( |
| sWap |
опубликован 28-01-2002 00:49 MSK
Почитал тут вас. Молодцы. Заинтересовался. Слушай, а ты по конкретней задачу опиши,а ? И скажи, а скока весит твой конь. Может чем помогу, я сам такое писал, но мой шутник прятался в других прогах, слал данные на один весёлый сайт, который кидал всё на мыло, а к нему я обращялся от отфанарный IP типа 100.010.011.001 и читал инфу. Команды отдавал тоже от отфонарного IP (советую его приравнивать IP чего-нибуть модного и большого, типа www.mail.ru или www.ericsson.com) - так тебя не найдут. |
| repairman |
опубликован 29-01-2002 10:32 MSK
Если обобщить все, что раньше писалось, то назревает два вопроса: 1) Борьба за выживание трояна на чужом компе во враждебной обстановке. 2) Проблема скрытной доставки информации в неизвесной конфигурации сети. К решению обоих проблем трояна придется снабдить некоторым количеством "мозгов". С чего начнем ? |
| sWap |
опубликован 29-01-2002 00:50 MSK
Предлагаю начать с размеров. Скока он весит(или должен). Чем меньше весит, тем лезче спрятать. Для оптимального прятанья надо взять книжку "Вирусный полиморфизм". А для обычного использовать что-нибудь типа хранения вира по частям и довешивать в концы *.com файлов на тачке атакуемого. Если пихать в *.ехе, то любой сраный AVP заорёт, что "_бать мой лысый череп да тут сидит засранец со структурой похожей на hhl вирусы." А согласитесь ни с того ни с сего странный файлы на компе..... Я бы какой-нибудь трассировщик бы запустил (по весеелее) и - ВСЁ накрылась коня на одном компе. Что касается неизвестной cfg сети, то конь всё дело в протоколах. ТОчно не помню, но могу посмотреть, как правильно должен выглядеть IP с ETHERNET что-бы черет экраны спокойно на нужный IP в нете уходил, а далее, как я раньше писал, пусть этот пакетик (их серия) представляет собой простенькое мыло или ещё там что-нибудь. А от туда и читать можно в реал-тайме. |
| repairman |
опубликован 29-01-2002 16:20 MSK
Ну раз уж ты про IP пакеты заговорил.... Это чего же такие за заголовки, что проходят через любые брендмауэры !!!???? |
| RomaQ |
опубликован 05-02-2002 16:01 MSK
Привет всем, извините долго не писал. To Swap: Троян мой(впаривается в чате как фотки в SFX-архиве) призапуске копирует в другое место (%Windir%\SYSTEM) Потом прописывается в реестр и высылает на мыло IP(локальный) потом в клиенте коннектишся и делаешь что хочешь (естественно какие командый заложил такие и будут доступны) Самый мой главный вопрос был это как мне можно входить в подсети(например выделенка). С Dial-Up'ом проблем-то нет, всё прекрасно коннектится и администрируется, но трудно поймать такого человека, который долго на Dial-Up'e будет в Нете сидеть, т.к. дома то у меня Инета нут, приходится из салона. Восновном на мыло приходят IP-шники такого вида 192.168.1.XXX сразу ясно что выделенка. Исходники тут: http://hot.ee/romaq/zx/oldtrojan.rar |
| sWap |
опубликован 05-02-2002 22:18 MSK
Блин.... Я что-то совсем сдурел. Ну ни хрена не врубаюсь. Просто сессия, и работа, мозги не варят вообще, а "сети" так давно е#ал. Исходники скачал сегодня посмотрим... |
| RomaQ |
опубликован 06-02-2002 16:30 MSK
Угу.. если разберёшься, то хорошо. |
| RomaQ |
опубликован 07-02-2002 18:08 MSK
Ну так что там??? Если не понятно чего там, то пиши. Не мучайся. :))) |
| sWap |
опубликован 07-02-2002 21:01 MSK
Sorry только что протрезвел......... Что-то отмечали 2 дня, %( |
| RomaQ |
опубликован 07-02-2002 23:21 MSK
Привет снова. Вобщем испытай так: Запусти сервер у себя (не бойся ничего не случится). 1. Введи в терминале (в клиенте) "port 345" 2. Введи "connect 127.0.0.1" (и ты к себе на комп подключишься) 3. "dir" - список файлов текущего каталога 4. "cd <path>" - где <path> путь к диску, каталогу и т.д. 5. "opencd" - Сидюк вытащить :)) 6. "closecd" - Закрыть сидюк 7. "read <path>" - Вывести на экран содержимое файла <path> 8. "restart" - перезагрузить комп :))) 9. Ну и закачать файл (Кнопка) - тестовая кнопка для закачки. Закачивает указанный файл на удалённый комп под именем c:\display.exe Вот и всё, это типа хелп был :))) |
| sWap |
опубликован 08-02-2002 22:19 MSK
Ага шас буду тестить, но ты по ходу кода и его дизайна полный извращенец (шутка). А если не в падлу то можешь больше comments налпить, а то я от кода и его расположения просто балдею, и офигеваю от принципа доставки команд (dir, connect ....). Чё-то очень извратно, но выглядет запутанно-весело.
Ну жди. %> |
| sWap |
опубликован 08-02-2002 22:20 MSK
А комментс (if you'll done it) шли на мыл swap@fromtu.com |
| sWap |
опубликован 08-02-2002 22:21 MSK
Two times sorry swap@fromru.com formRu , а не fromTu |
| sWap |
опубликован 09-02-2002 00:27 MSK
На данную секунду: Всё почти работает. Kernel32 вырублено и не фурычит, все мониторы, какие нашёл обнаруживают дикую активность на 345 порту. Мыло не отправляется, коннектить не хочет, буду разгребыть далее. А в начеле надо вставить проверку OS. Все события из OnCreate убрать, и поставить в отдельный таймер, который сразу вырубается. Твой restart не актуален под всё кроме Must-Die 9X except 2000 and Me. Под NT и XP он вообще игнорируется, так, что жди .... |
| RomaQ |
опубликован 10-02-2002 00:37 MSK
Здарова! Насчёт дизайна ты прав, но это же тестовая разработка, скоро будет готова новая версия, там можно буде работать полностью мышью (только IP вводить придётся). Кстати, самую главную комманду забыл написать: 10. "showmessage <Заголовок_окна> <СООБЩЕНИЕ>" - например "showmessage Explorer Обнаружен вирус!" А насчёт доставки комманд - как истинные хакеры мы должны троффик шифровать :)) Ну это так для извращения, я долго парился уже хотель без этого, но вдруг всё заработало, а менять впадлу. Вот. Насчёт kernel32 - Он только использует функцию из kernel32.dll для того чтобы в ALT-CTRL-DEL небыло видно. Да и под XP не работает, я пробовал 1 раз, но под WinME всё отлично пашет, правда когда я поставил ZoneAlarm он его сразу припалил. Сам понимаешь у многих до сих пор Win95/98/ME. XP он у многи париться будет 64-разрядная ОС всё-таки. А насчёт Фаиерволлов всяких я не беспокоюсь. Просто беру в чате предлагаю девчонкам скачать SFX-архив фоток, ну раз они ведутся на это, то значит они - ЛАМЕРЫ, а раз ламеры значить никаких файерволлов у них не стоит, и сидят они под теми же Win95/98/ME. И ещё самое главное, спрашиваешь зачем файло лить? Ну представь, троян сам по себе мало функций имеет, а ты написал например переписывалку MBR (MasterBootRecord) заливаешь к нему и "run c:\display.exe" + "del c:\display.exe". Кстати такую переписывалку можешь скачать у меня всего 4Kb http://hot.ee/romaq/fakecd.zip Если запустишь без параметров, то ничего не произойдёт, но если присутствует любой параметр, то после этого комп просто не загрузится. Так как она написана на Turbo Pascal её можно вставить в Autoexec.bat и ни какие Windozные AVP не запалят. Ну всё удачи. Мыль мне romaq@starline.ee (пиши translitom а то невсего пись бывают читабельны.) :)))) |
| RomaQ |
опубликован 10-02-2002 00:40 MSK
Swap, Твоего адреса не находит!!! |
| sWap |
опубликован 10-02-2002 18:54 MSK
swap@fromru.com |
| sWap |
опубликован 10-02-2002 23:56 MSK
Мылить твой конь нихрена не хочет, под XP или просто так не знаю ;( |
| RomaQ |
опубликован 13-02-2002 13:44 MSK
Ну чего, надумал насчёт подсеток чтонибудь? |
| sWap |
опубликован 14-02-2002 11:51 MSK
Щас пытаюсь заставить коня что-нить под ядро NT делать, а про под сети - надо с ICMP протоколом разобраться... Про него тоже ща читаю умные книги... ;\ Если есть что-нибуть свежее кинь на мыл/ |
| RomaQ |
опубликован 15-02-2002 09:17 MSK
А я щас про TCP/IP читаю... У нас в салоне со среды на четверг вирусягу запустили, Win32.FunLove, я Виндозы везде переставлял, за одно своего трояна и новый вирь запустил. Он сработает сегодня в 18:00 по-нашему. Делает он вот что: начинает верещать динамиком и проигрывает пронзительный оглущительный и (для нас) очень смешной звук сирены. |
| sWap |
опубликован 16-02-2002 01:23 MSK
М-м-да.... Каждый сходит с ума по своему... :+ |
| RomaQ |
опубликован 17-02-2002 08:57 MSK
Да ты бы это видел! Ровно в 18:00 всё сработало. Тут же все харды форматировать стали и начальник про вирусягу сказал вот что. Типа ето какая-то система защиты которая при збоях подаёт звук сирены, но кто-то её настроил неправильно и она верещала :))) |
Powered by: Ultimate Bulletin Board, Freeware Version 5.10a
Purchase our Licensed Version- which adds many more features!
© Infopop Corporation (formerly Madrona Park, Inc.), 1998 - 2000.