이메일을 적으시면 보안관련 소식을 받을수 있습니다.
이메일:

 

 

 

 


 

작성자: 미남닷컴
편집자: 엔시스


 

생성된 봇입니다.

 

 

 

컴파일이 되면 감염을 시켜 봅니다.

Infect IRCbot to client

 

 

 

봇이 IRC 서버로 접속했습니다.

Client connect server.

여기서부터는 명령을 내릴 있습니다.

We can order.

포스팅에서 prefix라는 것이 있었습니다.

Previous post, there is a prefix

prefix 넣어준 명령어 형식에 맞춰 입력하면 됩니다.

Before enter operation, we have to attach prefix (.)

하지만 IRCbot client 소스를 검토해본 결과 명령어 파싱이 제대로 되지 않는 문제점이 있었습니다.

There are some problem about operation parsing our test source.

 

그래서 debugging 필요 했습니다.

Need to be debug

편리하게도 IRCbot cilent 소스는 debug 기능도 제공합니다.

This source provide debugging mode.

소스중 define.h 보게 되면

Debug mode is defined file (define.h)

 

#define DEBUG_LOGGING // enables protocol dumping to a log file for testing purposes

#define DEBUG_CONSOLE // enables debugging console for stdout/stderr for testing purposes

 

디버깅모드를 정의 있습니다.

이것을 활성화 하고 디버깅을 하면 소스의 어느부분에서 오작동을 일으키는 있습니다.

if get rid of // , we could enable debug mode.

Test source에서는 파싱 명령어를 처리하는 곳으로 들어가지 못했습니다.

그래서 임의로 코딩을 바꾸어 진행 했습니다.

This source didn't operation routine after parse.

So I edited code.

 

이제 보여드릴 것은 명령어들에 대해 봇들이 어떻게 반응하며 어떤 명령어 들이 있는지 보게씁니다.

These are screenshot How IRCbot action against operation.


command execution


command dir execution


before delete file


delete file


dns URL


findpass


flusharp


flushdns


get file


getcdkeys


httpserver 8080 open


before 8080 open


8080 open


kill process


log


net operation


sysinfo netinfo


findpass, list txt, nick change


process list


readfile


rndnick (random nick change)



secure, unsecure


sock4 open


status, id


threads


uptime, driveinfo, testdlls


version


visit URL


who


정말 많은 명령어 들이 있습니다.
이것 이외에도요
IRCbot has many operation.
This post don't show you many IRCbot operation.

다음 포스팅에서는 DDOS공격하는것을 보여드리겠습니다.
Next port, we try DDOS attack.

다음포스팅으로
to be contined



---------------------------------------------------------------------------------------------------
글에 오류가 있거나 수정이 필요하다고 생각 하시면 메일을 보내주세요.
If there are errors or need to be edited, send e-mail.
미남닷컴 (minamdotcom)
kimms@boanin.com
---------------------------------------------------------------------------------------------------


****************************************************************************************************

본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..

****************************************************************************************************

Posted by 미남닷컴

댓글을 달아 주세요

  1. Favicon of https://eva1717.tistory.com BlogIcon eva1717 2009.04.24 11:47 신고  댓글주소  수정/삭제  댓글쓰기

    미남닷컴님 이번에도 고생하셨습니다..^^
    햐.. 정말 IRCbot으로 많은 것들을 할 수 가 있네요...
    다음번 포스팅 해주실 DDoS 공격이라..+ㅁ+
    정말 기대됩니다...^^
    포스팅 하시느냐 항상 수고 하십니다.^^
    몸 건강히 다음번에 뵈요^^

  2. 산사람 2009.05.19 16:30  댓글주소  수정/삭제  댓글쓰기

    안녕하세요... 좋은 자료 올려주셔서 잘 보고 있습니다 ...

    환경설정하고 rbot 컴파일해서 감염시켜서 접속도 되는 걸 mIRC에서 확인했습니다.

    그런데 명령을 내리면 Status창에 Your connection is restricted!라고 나오고 감염 PC에는 아무런

    반응도 나오질 않네요!!!

    뭐가 잘못됐는지?

    • Atlantic 2009.11.07 01:54  댓글주소  수정/삭제

      C언어 소스잘보시면 -ㅁ - 파서가 제대로안되고있습니다. 고로 명령어를 올바르게 입력해도 Bot이 제대로 받아들이지를 못하고있지요.. ㅎㅎ

  3. 산사람 2009.05.20 10:07  댓글주소  수정/삭제  댓글쓰기

    자꾸 질문 올려 죄송합니다.

    본문 내용중에 임의로 코드를 바꿨다고 했는데...

    어느 부분이 어떻게 바뀌였는지 알려주시면 감사하겠습니다.

    수고하세요^^