Arquivo da categoria ‘windows’

Usando msn shadow e dsniff para capturar conversas de msn, icq etc…

Lógica do sniffing para capturar conversar em rede:

Tem alguém na sua rede, batendo papo no msn com outra pessoa, daí você usa o arpspoof para avisar todos computadores da rede, que o seu computador está como servidor, Sendo assim, tudo que entrar ou sair da rede terá que passar pelo seu computador(tipo um proxy transparente).

Daí, entra a tarefa do msn shadow que capturará todas as conversas.

Vamos la, para voce entender melhor o tutorial…

A ferramenta MSN Shadow possui a funcao de capturar as mensagens instantaneas que trafega pela rede com protocolos como MSN, Yahoo messenger, jabber. A ferramenta pode ser usada tanto com rede sem fio como em rede com fio, bastando simplesmente selecionar a interface de rede na qual encontra-se ligado.

O MSN Shadow permite visualizar em tempo real as mensagens instantaneas que trafegam pela rede, e tambem existe a possibilidade de capturar as conversas que ocorrem por meio de video conferencia podendo ser salvo em formato de video.

Para que o ataque seja realizado com sucesso, primeiro devemos ativar o encaminhamento de pacotes IP para que o tráfego da rede chegue aos destinos predefinidos.

O dsnif auxilia o MSN Shadow na captura dos pacotes com a ferramenta arpspoof. O arpspoof é executado contra o gateway da rede, fazendo com que todos os pacotes tenham que passar primeiro pela maquina do investigador, fazendo isso todo o trafego da rede passa primeiro pela maquina que está sendo executado o MSN Shadow.

Ativaçao do encaminhamento de pacotes IP:

#echo 1 > /proc/sys/net/ipv4/ip_forward

Execuçao do comando arpspoof que enviará pacotes de broadcast, avisando toda a rede que os ip’s possuem o endereço Mac da maquina atacante:

#arpspoof [endereco Ip do gateway]

#arpspoof [endereco IP da vitima]

OBS: Si você não quiser e/ou não saber usar o arpspoof, basta usar o caim e abel que eu já ensinei em um tutorial antes.

windows e seus componentes,

Aqui está uma lista de 26 programas escondidos ou pouco conhecidos do Windows. Alguns que não aparecem no menu iniciar mas que podem ser úteis. Para abrir, digite o nome do arquivo desejado no Menu Iniciar / Executar. Ex: clipbrd

1. Mapa de Caracteres = charmap.exe (para procurar caracteres indefinidos com suas fontes)

2. Limpeza de Disco = cleanmgr.exe

3. Área de Transferência = clipbrd.exe (verifica o que está no clipboard, ou seja, o que está copiado na memória temporária)

4. Dr Watson = drwtsn32.exe (ferramenta para solução de problemas)

5. DirectX diagnóstico = dxdiag.exe (teste seu DirectX, video & placas de som)

6. Private character editor = eudcedit.exe (crie ou modifique caracteres)

7. IExpress Wizard = iexpress.exe (compactador de arquivos, se vc usar o WinRAR ou WinZip não precisa dele)

8. Mcft Synchronization Manager = mobsync.exe (permite sincronização de arquivos na rede local)

9. Windows Media Player 5.1 = mplay32.exe (abre a versão 5.1 do tocador)

10. ODBC Data Source Administrator = odbcad32.exe (mexa com banco de dados)

11. Gerenciador de Objetos = packager.exe

12. System Monitor = perfmon.exe (tudo o que vc quiser saber sobre a performance do PC, para usuários avançados)

13. Gerenciador de Programas = progman.exe

14. Remote Access phone book = rasphone.exe

15. Registry Editor = regedt32.exe ou regedit.exe (para ver /modificar o Registro do Windows)

16. Services = services.msc (inicia, pára e configura os serviços do Windows)

17. Network shared folder wizard = shrpubw.exe (crie pastas compartilhadas na rede)

18. File signature verification tool = sigverif.exe (verifica a assinatura de um arquivo)

19. Volume Control = sndvol32.exe (controle de volume)

20. System Configuration Editor = sysedit.exe (modifique System.ini e win.ini)

21. Syskey = syskey.exe (protege o banco de dados de contas do Windows – use com cuidado).

22. Mcft Telnet Client = telnet.exe (CPublicar postagemliente Telnet em DOS)

23. Driver Verifier Manager = verifier.exe (monitore atividades de drivers).

24. Windows for Workgroups Chat = winchat.exe (um velho chat para rede local).

25. System configuration = msconfig.exe (desabilite/gerencie arquivos carregados ao iniciar Windows)

26. Diretivas de grupo – gpedit.msc (permite editar objetos de diretiva de grupo)

Fonte: Tiobio e outros blogs.

Um pergunta:

E possível invadir sem nenhuma ferramenta?

Essa pergunta foi feita para min, no meu msn.

Então resolvi criar um post para falar sobre isso…

Aqui vai a resposta: É impossível invadir sem nenhuma ferramenta… Pois para invadir você irá precisar pelo menos das ferramentas do Windows.

Agora si me fizerem a seguinte pergunta: É possível invadir com as próprias ferramentas do Windows?

Aí sim eu vou responder que é possível sim invadir somente com as ferramentas do Windows. No entanto é impossível invadir qualquer computador com as ferramentas do próprio Windows.. Aí sim é preciso outras ferramentas para ajudarem a invasao!

AGORA FICARIA Muito mais fácil invadir computadores, com as ferramentas do linux… Pois, afinal de contas o linux é um sistema operacional voltado para segurança. Um tipo de invasão mais famosa e uma das mais eficaz com as próprias ferramentas do LINUX é a invasão por EXPLOIT.

EXEMPLO:
Host :# gcc exploit.c -o exploit.exe // Compilando o Exploit.

Use Exploit ./exploit host

exploit.exe 201.40.22.163 -e
…………………………………………

Muito fácil usar um exploit, Basta fazer uma varredura de portas de descobrir os serviços executados nas portas, e procurar um serviços que esteja vulnerável a ataques. Para fazer uma varredura, basta olhar em outros posts feitos por min neste blog. Eu criei um post de como usar e fazer uma varredura de portas com Shadow security Scanner.

Agora, si você não achar nenhum serviço vulnerável a ataques, Então vai ter que estudar mais um pouco e criar um exploit próprio.

Ate+

Eu traduzi um livro do metasploit chamado: METASPLOIT TOOKIT

quem quiser é só pedir para min pelo meu msn!

O Cygwin e uma aplicação para Windows que possibilita a emulação do ambiente Linux.

O Cygwin e grátis e pode ser encontrado em www.cygwin.com.

http://paginas.fe.up.pt/~gil/ensino/prg/files/cygwin1.5.5-1.zip

Para que não sabe Instalar:

1. Unzip do ficheiro cygwin1.5.5-1.zip para um directório temporário – c:\temp

1

2. Executar o programa setup.exe

2

3. Pressionar o botão next

4. Escolher “Install from Local Directory” e pressioanr o botão next

3

5. Escolher um directório para a instalação (Root Directory) do cygwin – c:\cygwin – e deixar as restantes opçoes inalteradas

4

Depois disso, basta seguir os passos para instalar o programa, e depois. irá aparecer um console no seu desktop.

Depois disso basta usar seu console linux e abuzar de tudo

Métodos eficazes e os não tão eficazes de se retirar o programa
Basicamente existem quatro métodos de se retirar um cavalo de tróia. Cada um possui suas vantagens e falhas. O ideal seria usar um pouco de todos.

Detecção por portas
Esse é um método utilizado por programas como o Xôbobus, o meu Anti-Trojans e muitos outros. Funciona do seguinte modo: os programadores estudam as portas TCP e UDP utilizadas pelos trojans e criam um programa que abre essas portas. Assim, quando um invasor vir a porta aberta e pensar que é um cavalo de tróia que está instalado ali, cairá em uma armadilha tendo o seu endereço IP detectado. Esse método não é muito eficiente pois
facilmente podemos mudar as portas que os trojans utilizam. Mas ainda é um método muito usado pois muitas pessoas não se lembrar de trocar as portas.

Detecção pelo arquivo
Esse é o método usado pelos anti-vírus e o programa The Cleaner. Ele detecta o trojan checando a sua estrutura. Se o arquivo estiver renomeado (sem ser para executável) ou estiver comprimido, esse método se torna inútil. Para ser realmente eficaz, deve ser usado junto à detecção de portas. Assim, mesmo que seu anti-vírus não encontrou um trojan, o Anti-Trojans pode encontrar.

Detecção por string
Na minha opinião, o melhor método de todos. Pouco divulgado publicamente, se torna a melhor garantia para se detectar um trojan sem falhas. Isso porquê mesmo que o programa for comprimido ou mude suas portas, ele ainda estará usando uma das 65535 portas do sistema e
se comunicará com o cliente. A comunicação entre cliente e servidor se dá por uma string (texto) enviada. Por exemplo: O Netbus 1.7 envia uma string assim “Netbus 1.7x” quando alguma conexão é estabelecida. Se for o cliente, ele responderá com outra string. Então para analisar todas as portas do seu sistema e saber quais estão abertas e possuem strings, utilize um programa como o Chaoscan ou algum outro scanner de porta que lhe dê essas
informações.

Detecção manual
Muito eficaz também, a checagem manual do sistema pelo operador pode facilitar muito a vida. Olhando registro, arquivos de inicialização, conferindo os programas carregados na memória, o tamanho dos arquivos, etc… Todas essas precauções evitam dores de cabeça. Essa política adotada junto aos outros tipos de detecção faz com que você exclua em 100% a chance de uma invasão por cavalos de tróia.

Hoje estou com muita pressa, mais outro dia falo mais sobre este assunto.

Comandos Arp

Permite realizar consultas e alterações na tabela de mapeamento entre endereços IP e endereços MAC do cache ARP.

arp -a [endereçoIP] [-N IPInterface]
arp -s endereçoIP endereçoMAC [IPInterface]
arp -d endereçoIP [IPInterface]Parâmetro Descrição
endereçoIP Especifica o endereço IP a resolver ou alterar.
EndereçoMAC Especifica o endereço MAC a acrescentar ao cache do ARP.
O endereço MAC é composto por 6 bytes (expressos em notação
hexadecimal) separados por hífen.
IPInterface Especifica o endereço IP da placa de rede cuja tabela ARP deverá ser alterada. Por default, a primeira interface disponível será utilizada.-a Exibe as entradas de cache do ARP. Se o endereçoIP tiver sido especificado, mostra
somente a entrada referente a esse endereço.
-g O mesmo que –a.
-d Exclui do cache do ARP o host especificado por endereçoIP. Se IPInterface for
especificado, exclui o host do cache da placa de rede indicada por IPInterface.
-s Acrescenta ao cache do ARP uma associação entre endereçoMAC e endereçoIP. Se
IPInterface tiver sido especificado, acrescenta a associação no cache do ARP da placa.
de rede indicada por IPInterface.
-N Especifica o endereço IP da placa de rede à qual o comando se aplica.

Comandos ftp

Transfere arquivos de ou para um computador remoto.
ftp [-v] [-d] [-i] [-n] [-g] [-s:nomearq] [-a] [-w:tamanho] [computador]

O servidor ftp solicitará um usuário e a senha correspondente.
A maioria dos servidores FTP pode ser acessada por usuários não cadastrados, utilizando o
usuário Anonymous.
Esse usuário não requer senha, mas muitos servidores solicitam como senha um endereço
de e-mail.Opção Descrição
-v Elimina as mensagens de resposta do servidor.
-d Ativa o modo de depuração, exibindo os comandos FTP enviados e recebidos.
-i Desativa a confirmação para a transferência de cada arquivo em operações com
múltiplos arquivos.
-n Elimina o login automático na conexão inicial.
-g Desativa o globbing, que permite o uso de caracteres de máscara (*, ?) em
nomes de arquivos.
-s Especifica um arquivo de texto contendo os comandos FTP a serem executados
automaticamente.
-a Utiliza qualquer placa de rede para estabelecer a conexão com o servidor FTP.
-w Define o tamanho do buffer de transferência (o default é de 4 KBytes).
Computador Nome do servidor FTP ou endereço IP. Deve ser o último parâmetro da linha de comando.

A seguir está a sintaxe dos comandos interativos do protocolo FTP. Esses comandos
são utilizados de acordo com cada sistema e geralmente já com a conexão online.

append Acrescenta informações a um arquivo.

ascii Indica que a transferência de arquivos será feita no modo de texto
(arquivos apenas de texto, como TXT ou HTML)

bell Emite aviso sonoro ao término do comando.

binary Indica que a transferência de arquivos será feita no modo binário.

bye Fecha a sessão FTP e sai do programa FTP.
cd Seleciona um novo diretório de trabalho no computador remoto.
close Fecha a sessão com um servidor FTP.
debug Ativa/desativa o modo de depuração.
delete Elimina arquivos no computador remoto.
dir Lista o conteúdo de um diretório remoto.
disconnect Fecha a sessão com um servidor FTP.

get Copia um arquivo de um computador remoto para o computador local
glob Ativa/desativa o uso de caracteres de máscara (*,?) em nomes de arquivos.
hash Ativa/desativa a impressão de “#” para cada buffer transferido.
help Exibe help on-line de um comando FTP. Se o comando não for especificado,exibe a lista dos comandos disponíveis.
lcd Seleciona um novo diretório de trabalho no computador local.
literal Envia uma linha de comando diretamente ao servidor FTP.
ls Lista o conteúdo de um diretório remoto.
mdelete Elimina múltiplos arquivos no computador remoto.
mdir Lista o conteúdo de múltiplos diretórios no servidor remoto
mget Copia múltiplos arquivos do computador remoto para o computador local.
mkdir Cria um diretório no computador remoto.
mls Lista o conteúdo de múltiplos diretórios no servidor remoto
mput Copia múltiplos arquivos do computador local para o computador remoto.
open Estebelece uma conexão com um servidor FTP.
prompt Ativa/desativa a confirmação para a transferência com muitos arquivos.

put Copia um arquivo do computador local para um computador remoto (upload).
pwd Exibe o diretório corrente no computador remoto.
quit Fecha a sessão FTP e sai do programa FTP.
quote Envia uma linha de comando diretamente ao servidor FTP.
recv Copia um arquivo de um computador remoto para o computador local
remotehelp Exibe help on-line para comandos diretos do servidor FTP.
rename Renomeia um arquivo.
rmdir Remove um diretório no computador remoto.
send Copia um arquivo do computador local para um computador remoto (upload).
status Exibe informações sobre a configuração do cliente FTP.
trace Ativa/desativa o modo trace (exibição de todas as ações executadas).
type Define ou exibe o tipo de transferência de arquivo (ASCII ou binary).

user Especifica um novo usuário para o computador remoto.

Comandos IPCONFIG

Exibe a configuração do protocolo TCP/IP. Sem nenhum parâmetro, exibe os valores de
endereço IP, máscara de sub-rede e default gateway para cada placa de rede instalada.

ipconfig [/? | /all | /release [adaptador] | /renew [adaptador]]/all Exibe informações detalhadas de IP para as placas de rede instaladas. Além do endereço IP, da máscara de sub-rede e do default gateway,são exibidos também os endereços dos servidores DHCP, WINS e DNS para cada placa de rede instalada.
/release Libera o endereço IP obtido para uma placa de rede através de um servidor DHCP. Se a placa de rede não for especificada, libera os endereços IP obtidos para todas as placas de rede do computador.
/renew Renova um endereço IP obtido para uma placa de através de um servidor DHCP. Se a placa de rede não for especificada, renova os endereços IP obtidos para todas as placas de rede instaladas no computador.
adaptador Especifica uma placa de rede na renovação ou liberação de um endereço IP obtido através de um servidor DHCP. Para saber os nomes associados às placas de rede, utilize o comando Ipconfig sem parâmetros.

Comandos telnet
Conecta-se a uma máquina remota , utilizando seus recursos disponíveis.

telnet [host [porta]]
Opção     Descrição
host Nome de host ou endereço IP do endereço remoto.
porta Endereço da porta remota.
Comandos Interativos do Telnet
close Fecha uma conexão.
display Exibe opções de conexão.
environ Define variáveis de ambiente.
logout Encerra uma conexão.
mode Alterna entre o modo de transferência ASCII e binário.
open Efetua a conexão com um computador remoto.

quit Sai do Telnet.
send Envia seqüências de protocolo Telnet especiais para um computador remoto.
set Define opções de conexão.
unset Desativa parâmetros de conexão.

Comandos Tracert

O Tracert (traçar rota) serve para verificarmos quantos e quais computadores os nossos dados passam até chegar a um destino especificado. No exemplo acima, levou apenas um computador para alcançar o destino pedido.

tracert [-d] [h- hopsmáx] [-j listahops] [-w timeout] destino

Opção Descrição

-d Não converte os endereços em nomes de host.
-h Número máximo de hops (TTL) para encontrar o destino.
-j Rota de origem livre com a listahops.
-w Timeout, ou tempo máximo para resposta (em milissegundos).
destino Nome do host de destino (ou endereço IP).

Gostou ?

Então só nao pode esquecer de comentar.

A microsoft é a besta ?
O VERDADEIRO nome de Bill Gates é William Henry Gates III?

Hoje em dia o conhecemos como Bill Gates (III) onde “III” significa “terceiro”. Então, o que há de aterrorizante neste nome? Se você pegar todas as letras do nome Bill Gates III, e considera o código equivalente em ASCII (American standard code for information interchange) para cada uma, e soma todos … obtém o número 666, que é o número da BESTA (pra quem não sabe)!!!

B = 66

I = 73

L = 76

L = 76

G = 71

A = 65

T = 84

E = 69

S = 83

I = 1

I = 1

I = 1 = 666 O NÚMERO DA BESTA, DO DEMÔNIO, CAPETA, LUCIFER, PRETOVEI …….. Coincidência?

Talvez, porém pega WINDOWS 95 e faz o mesmo, você obterá 666 também !!!

E o mesmo vale para MS-DOS 6.31. Voce está seguro de que isto é uma coincidência?

Você decide … MS-DOS 6.21 ** 77+83+45+68+79+83+32+54+46+50+49 = 666

WINDOWS 95 ** 87+73+78+68+79+87+83+57+53+1= 666

Prepare-se porque agora vem o melhor !!!!! Para aqueles que tenham “Excel 95″ (não é o Excel do Office 97), façam esta prova:

1. Abra um arquivo novo.

2. Posicione-se na linha 95.

3. Click o botão de número 95, assim a linha inteira ficará selecionada.

4. Pressione TAB, para ir para a segunda coluna.

5. Agora, com o mouse, selecione o menu Ajuda (?) e entre em “Sobre Microsoft Excel …”

6. Pressione as teclas ctrl-alt-shift e (mantendo-as pressionadas), com o mouse, selecione a opção “Suporte ao produto” na janela de ajuda.

7. APARECERÁ UMA JANELA COM O TÍTULO: THE HALL OF TORTURED SOULS. Isto é realmente aterrorizante, de acordo.

É um programa similar ao jogo Doom, e você pode percorrê-lo com os botões de direção (setas). Nas paredes aparecem os nomes, em movimento, das almas torturadas…

8. Agora vá até as escadas e volte em direção à parede que estaria às suas costas ao começar o jogo. A branca e quadriculada.

9. Tecle EXCELKFA. Isto abre a parede e revela outvado (isto é MUITO difícil!!), quando você chegar ao final, verá algra passagem secreta. Entre nela e tente não cair do caminho eleo realmente aterrorizante … Até este ponto, inúmeras testemunhas de todo o mundo verificaram que isto é uma verdadeira revelação que te abre os olhos. Poderia ser uma brincadeira dos programadores de Microsoft, ou não? Não seria surpreendente que Bill Gates fosse “O Anticristo”, além disso, já disse a Bíblia que alguém poderoso virá , e guiará o mundo a destruição. E Bill Gates sem dúvida tem esse tipo de poder nas suas mãos. Mais de 80% dos computadores do mundo tem Windows e DOS (inclusive os do Pentágono). Se todos esses produtos tiverem algum tipo de pequeno programa camuflado (como este do “Hall of Tortured Souls”) isto pode dar-lhe o controle de configurar os arsenais nucleares, fazendo estragos nos sistemas de segurança, e nos sistemas financeiros do mundo, etc… Tudo isso pode ser feito a partir da sua sede e não está longe da realidade! Somente usando o Internet Explorer eles podem espiar o que temos no computador bit a bit cada vez que nos conectamos. Talvez o fim do mundo esteja próximo e isto seja somente a ponta do iceberg!?

Citação da Bíblia: “E ele obrigou a todos, pequenos e grandes, ricos e pobres, livres e escravos, a receber uma marca em sua mão direita ou em seu rosto, de tal forma que ninguém poderia comprar ou vender coisa alguma se não estiver marcado com o nome da fera ou com o número do seu nome. “Aqui é preciso ter sabedoria! Quem tem inteligência, calcule o número da fera, pois é um número de homem: seu número é 666.”

Apocalipse 13:16-18. Isto é algo em que se deve pensar … Porque se a Bíblia, no livro do Apocalipse diz que sem o sinal da besta ninguém poderia ser capaz de comprar, vender, fazer transações comerciais, etc … Então … Minha pergunta é: A Internet é hoje em dia uma necessidade para fazer negócios? Note que a Internet tambem é conhecida como a World Wide Web ou WWW … Outra forma em que podemos escrever W eh V/ (VI) assim: W W W = VI VI VI 6 6 6 Isto me dá o que pensar … Não vai tudo se encaminhando para a Internet? (por exemplo, comprar/vender bens, transações comerciais) E não está a Microsoft tentando sempre ter o monopólio da tecnologia de software, e agora de Internet? O Apocalipse também diz que a marca da Besta estará na mão e no rosto de cada um … Se a Internet fosse em realidade o sinal da Besta, não estamos começando a levá-lo nas nossas mãos (usando o mouse) e em nossos rostos (monitor)? Finalmente, tudo encaixa ou nós estamos deixando levar pela imaginação? Lembre-se, o Demônio vem para enganar, roubar e destruir … assim fique ATENTO com respeito a Bill Gates e Microsoft. “Estar ou não estar de acordo com a WWW ou a Besta”, essa não é a questão. E se WWW é o 666? Ou Bill Gates é a Besta? Que vamos fazer? Cancelar nossa conexão à Internet? Não utilizar os produtos da Microsoft? Organizar uma campanha contra Bill Gates na Internet? Desconectar todos os Windows 95 para sempre? Isto não te faria nenhum bem … pense nisto e reze, reze com devoção…

abaixo a tabela asc….
Binário     Decimal     Hexa     Glifo
0100 0000     64     40     @
0100 0001     65     41     A
0100 0010     66     42     B
0100 0011     67     43     C
0100 0100     68     44     D
0100 0101     69     45     E
0100 0110     70     46     F
0100 0111     71     47     G
0100 1000     72     48     H
0100 1001     73     49     I
0100 1010     74     4A     J
0100 1011     75     4B     K
0100 1100     76     4C     L
0100 1101     77     4D     M
0100 1110     78     4E     N
0100 1111     79     4F     O
0101 0000     80     50     P
0101 0001     81     51     Q
0101 0010     82     52     R
0101 0011     83     53     S
0101 0100     84     54     T
0101 0101     85     55     U
0101 0110     86     56     V
0101 0111     87     57     W
0101 1000     88     58     X
0101 1001     89     59     Y
0101 1010     90     5A     Z
0101 1011     91     5B     [
0101 1100     92     5C     \
0101 1101     93     5D     ]
0101 1110     94     5E     ^
0101 1111     95     5F     _