Tutoriais

Conexão reversa

Normalmente, quando um invasor instala um trojan ou um backdoor (porta dos fundos) em uma maquina, ele utiliza o cl?ssico modo cliente-servidor. O software abre uma porta na maquina alvo, e o invasor precisa saber o endere?o ip dessa m?quina para poder se conectar a ela. Mas e quando não possivel que o invasor saiba o endereço ip, ou melhor ainda, se essa maquina estiver dentro de uma rede interna (intranet) com um endere?o ip privado? Ex: 192.168.0.2. O invasor nunca poderia utilizar esse ip para se conectar.

Como ele poderia fazer então Ele teria que utilizar o conceito de conexão reversa. Em vez de se conectar ao alvo, fazer o alvo se conectar de volta ao invasor. Isso possui várias vantagens:

- Para multiplos alvos, não ha necessidade de saber os endereços ips.
- Qualquer computador dentro de uma rede interna pode ser alvo (mesmo os que acessam via proxy)
- Esse tipo de ataque consegue burlar a maioria das configurações de firewall

Para exemplificar, vamos utilizar o programa NETCAT (o famoso canivete suiço do TCP/IP) para realizar uma conexão reversa simples. Primeiro, damos uma olhada geral nas suas opções:

 

Podemos ver que o programa possui muitas funções diferentes, e pode agir tanto como cliente (como uma espécie de super-telnet) quanto como servidor. Para nosso ataque funcionar, vamos precisar abrir dois prompts de comando, e digitar o seguinte:

 

Em cada uma das janelas, pedimos ao NETCAT (comando nc) que escute ( -L ) em uma determinada porta ( -p ), só mostre conexões em formato numérico ( -n ) e nos mostre todo tipo de tráfego que passar por essa porta ( -vv). Estando então agindo como servidor, abrimos as portas 53 e 79 no nosso sistema (lembra que somos o invasor?). Agora, como faremos para o sistema alvo se conectar de volta ao nosso ip?

Enviamos via bat, ou executamos via active x em alguma página, métodos existem muitos... o que ter? de ser feito ? o seguinte:

 

Está vendo esse simbolo ( | )? Nós o chamamos de pipe... ele serve para concatenar a sa?da de um comando para a entrada de outro. No exemplo acima, eu fiz o seguinte...

Conecte-se ao endereço ip 200.97.69.233 na porta 53, concatene a saida para o programa cmd.exe e envie o resultado dessa sa?da para uma conexao feita ao ip 200.97.69.233 na porta 79.

Em sistemas Linux/Unix, basta trocar o cmd.exe por /bin/sh (o interpretador de comandos). O que nós fizemos foi: o sistema alvo vai se conectar na minha porta 53, capturar o que eu digitar, processar pelo seu interpretador de comandos e enviar o resultado para uma conexão na minha porta 79. Teoricamente então, quando eu digitar o comando dir na minha janela de comandos que estão monitorando a porta 53, vou ver o resultado do comando na janela da porta 79. Complicado? Nem tanto... vamos ver o resultado

 

Pronto, digitei alguns comandos na primeira janela e recebi o resultado na Segunda. Com isso, conseguimos realizar a conexão reversa.

Se você desanimou por achar muito trabalhoso, eu tenho uma boa noticia. Alguns trojans graficos ja conseguem realizar conexão reversa (entre outras coisas fantasticas que abordaremos em outras matérias). Um desses é o Beast, demonstrado na imagem abaixo.

 

Essas bolhas verdes na verdade são conexões reversas sendo realizadas. Na versõo definitiva, as bolhas foram trocadas por Ets, mas o principio é o mesmo. Quem se interessar, pode pegar o NETCAT em http://packetstormsecurity.org e o Beast em http://www.areyoufearless.com .

Fonte: http://www.esquemadf.pop.com.br/conecxaoreversa.html

 

 

Quer enviar seu Tutorial?

Envie um e-mail para thorking@gmail.com sem anexos mande no corpo do e-mail.

Obrigado!

Vote e ajude a manter o Force H4ck3r no ar!

Top30 Brasil - Vote neste site!


Concurso de sites Top30 Brasil.