论坛: 黑客进阶 标题: 木马端口是否可以在65535以上? 复制本贴地址    
作者: bridex [bridex]    论坛用户   登录
我偶然看到一份介绍木马的书,其中一个木马的端口在65535端口上.
为什么国内的木马却不能调到高端口上呢?朋友们讨论一下.


[此贴被 bridex(bridex) 在 12月29日08时50分 编辑过]

地主 发表时间: 12/17 08:27

回复: yutou [yutou]      登录
65535以上,那里有端口吗?


[此贴被 yutou(yutou) 在 12月17日10时38分 编辑过]

B1层 发表时间: 12/17 10:29

回复: afan271314 [afan271314]   论坛用户   登录
我的乖  你在哪看的 见鬼了

B2层 发表时间: 12/17 11:59

回复: NetDemon [netdemon]   ADMIN   登录
是可以的
前提是你自己设计一个操作系统,然后自己拿几个电脑,装了你自己的这个操作系统,联网起来,自己在那里控制来控制去,这就可以了

就像,航空公司是热烈欢迎每一个顾客的,但如果你身高10米,臀围5米,体重2吨的话,你是没法去坐飞机旅行的。你要坐飞机?好,你自己制造一架吧,嘿嘿~~

B3层 发表时间: 12/17 15:54

回复: yutou [yutou]      登录
老大,你说的有道理,可是不要太刻薄了。
告诉他端口从哪到哪就OK了

B4层 发表时间: 12/17 16:12

回复: bridex [bridex]   论坛用户   登录
我把资料翻出来了.
端口    木马名称
54321    School Bus.69-1.11
60000    Deep  Throat
61466    Telecommando
65000    Devil
69123    ShitHeep
-------------------------
上面的 端口69123的ShitHeep木马是怎么一回事啊?


B5层 发表时间: 12/18 09:16

回复: bridex [bridex]   论坛用户   登录
http://www.google.com/search?q=ShitHeep&ie=GB2312&hl=zh-CN&btnG=Google???÷&lr=

相关ShitHeep木马的连接

B6层 发表时间: 12/18 10:17

回复: yufirst [yufirst]   论坛用户   登录
不明白

B7层 发表时间: 12/18 10:27

回复: dashan [dashan]   论坛用户   登录
我以前有一个木马,它在生成服务器端时要填我们以后用以连接的端口,它持意注明可以用
65535以上的端口

B8层 发表时间: 12/18 15:20

回复: zone [zone]   论坛用户   登录
在65555端口上根据操作系统的不同,要么不运行,要么运行了别人连接不了,就只有这两个可能性,别的没了,可不可以在在65555端口上,看操作系统,不看木马本身

B9层 发表时间: 12/18 16:58

回复: afan271314 [afan271314]   论坛用户   登录
晕了 

B10层 发表时间: 12/18 20:12

回复: bridex [bridex]   论坛用户   登录
11楼的,或许你没见过这类木马.像上面的69123木马就是.

B11层 发表时间: 12/19 08:41

回复: liuxing [liuxing]   论坛用户   登录
说了这么多,那么究竟可不可以用那么高的端口啊?

B12层 发表时间: 12/19 09:55

回复: lijingxi [lijingxi]   见习版主   登录
到底可以不可以啊! 我想知道答案!

B13层 发表时间: 12/19 13:26

回复: bridex [bridex]   论坛用户   登录
我的回答是可以的.

B14层 发表时间: 12/19 14:12

回复: afan271314 [afan271314]   论坛用户   登录
我认为不行  根本就没有那个东西  怎么能用  你会点石成金啊

B15层 发表时间: 12/19 17:17

回复: SanPi [fengyuwww]   论坛用户   登录
建议bridex去看看有关TCP/IP的书!

B16层 发表时间: 12/20 11:13

回复: bridex [bridex]   论坛用户   登录
ShitHeep???????
好,我先不管这些了,学tcp/ip去.听楼上的.


B17层 发表时间: 12/21 08:54

回复: agan [ganhuilu]   论坛用户   登录
老大说“是超级级级级大胖子坐飞机就要自己做,
”还晕来晕去的,晕`~~~~~~

B18层 发表时间: 12/21 14:26

回复: yutou [yutou]      登录
只要是TCP/IP的网络就不存在所谓这么高的端口,就没有,怎么工作

B19层 发表时间: 03-12-22 10:57

回复: Idof [idof]   论坛用户   登录
有意思!

B20层 发表时间: 03-12-22 18:18

回复: bridex [bridex]   论坛用户   登录
紫鱼 

门派:反对派
级别:管理员
威望:0
经验:100716
货币:1000000005544
体力:
来源:.......
总发帖数:2928
注册日期:2002-01-27 
查看 邮件 主页 QQ 消息 引用 复制 下载 

可以的。当然了很多概念都要被重新划分和定义了。
当端口不够用了。
就像以前是IPV4现在要IPV6一样。

--------------------------------------------------------------------------------
编辑 删除 发表于 2003-12-24.17:26:00  IP: 已记录


来自
home.9966.org
爆米花


[此贴被 bridex(bridex) 在 12月24日19时53分 编辑过]

B21层 发表时间: 03-12-24 19:07

回复: zhuyaping [zhuyaping]   论坛用户   登录
老大你说话果然有性格!有喜欢

B22层 发表时间: 03-12-25 20:48

回复: lianjl [lianjl]   论坛用户   登录
我觉得是天方夜谭!

B23层 发表时间: 03-12-27 17:01

回复: xiean [xiean]   论坛用户   登录
。。。。。。我真晕,第一次听说有人把口扔到 65535 上面的

你找的什么资料,瞎掰嘛

6912 ShitHeep 
6913 ShitHeep Danny

这两个端口,不是 69123,估计你看的到 6912/3 ShitHeep 的缩写格式吧

知道为什么没 65535 以上的端口吧?根据 TCP RFC 标准,包头只有两个字节是端口号,无符号整形量,也就是 00 00 ~ FF FF,最大值就是 65535,你想要开到 65535 以上,你不光要听 ND 说的自己做机器,你要自己创建一个 tcp/ip 标准,至少,你的包头需要三个字节存放端口号。。。。那么。。。你写的系统和木马,也只有基于你自创的网络环境才能应用,先不说你能不能做出来,就算你写出来了,有什么用?在过第一个外网路由这个包就被丢弃或出现异常处理

大家不要争了,没可能开出 65535 以上的端口,除非你把全世界的 tcp/ip 规则改写,连 bill gates 这么喜欢创建自己标准的人,都不敢那样做。。。

B24层 发表时间: 03-12-28 09:58

回复: bridex [bridex]   论坛用户   登录
邪安兄,久仰大名了.谢谢你的回贴.
我经过测试旧版的WINSHLL可以调到任意高端口上,但只能连本机.
目前在想办法.高端口软件是有的,但在国外...


B25层 发表时间: 03-12-28 16:11

回复: xiean [xiean]   论坛用户   登录
你怎么还不明白呢,我觉得我说得很清楚了啊,这不是国内国外的区别,也不是核心构建工程师和刚接触电脑人的区别,并不是我们比别人差。。。是因为你说的,在 TCP/IP 世界里根本不可能。让我来详细给你说说

你先看看 http://20cn.com/rfc/rfc793.txt
其中第14页有这么一段

  Source Port:  16 bits

    The source port number.

  Destination Port:  16 bits

    The destination port number.

你再看上面的图就该明白,在 TCP/IP 的报文中,源端口和目标端口都只有 16 bits,也就是
0000 0000  0000 0000
^^^^^^^^^  ^^^^^^^^^
  00~FF      00~FF

也就是两个字节,这是世界标准规范,如果你强行写入,那么发生的只是不可预期的结果

另外,你是以toyjan而提出此点疑问,那么我只能说你肯定看错了,或者是资料错了,本机运行也不可能,原因是:

你说的环境我猜是在 win32 中,那么,除了 Ring 0 级外,你无法精心构造特殊包,也就是说,你无法构造一个端口在 FF FF 以上的包,因为你的包在 win 的处理中直接被拒绝或丢弃,除非重写 tcp/ip for win32 驱动,作为一个木马而言,需要的是隐弊,尽可能的让自己的体积小,如果真要这么做的话,那么无非是掩耳盗铃。。。因为。。都能更改 tcp/ip 的驱动了,还不如让端口隐藏(比如我改动 tcp/ip for win32 驱动,让端口 12345 不被系统所监控,那么基于 win32 的一些防火墙,一些类似于 netstat 什么的软件,将完全无法检测到此端口的应用、连接、和使用情况,这难道不更好么?)

另外附上中文图形的 TCP/IP协议的体系结构

如此,你还坚持会有超过 65535 端口的可能吗?

B26层 发表时间: 03-12-28 17:20

回复: bridex [bridex]   论坛用户   登录
NetBus 1.x (avoiding Netbuster) 12346 NetBus Pro 20034 ...
... 99 KeyLogger 12223 iCkiller 7789 iNi-Killer 9989 Portal of Doom 9875 Master Paradise 40423 BO jammerkillahV
121 AOLTrojan1.1 30029 Hack'a'tack 31787 The Invasor Nikhil G. 2140 SpySender Nikhil G. 1807 The Unexplained
29891 Bla 20331 FileNail Danny 4567 Coma Danny 10607
Shitheep Danny 69123 Bla1.1 ...
_____________________
packetstormsecurity.org/trojans/Trojans.txt - 2k - 网页快照 - 类似网页



55,我被收索引擎给骗了...

B27层 发表时间: 03-12-28 18:09

回复: bridex [bridex]   论坛用户   登录
好像不对呀,怎么连黑客联盟的木马端口介绍也是这样呀. http://www.yythac.com/ar/mmzn.txt
.......
The Unexplained 29891
Bla 20331
FileNail Danny 4567
Coma Danny 10607
Shitheep Danny 69123
~~~~~~~~~~~~~~~~~~~~~~!?
Bla1.1 1042
HVL Rat5 2283
....
邪安,这是不是资料的问题啊!
回答我.

B28层 发表时间: 03-12-29 08:46

回复: dsx [dsx]   论坛用户   登录
  我的65535以上好象在没有端口了

B29层 发表时间: 04-01-14 12:25

回复: nolove [nolove]   论坛用户   登录
我装灰鸽子87979这样的端口为什么还能接收到对方上线?

B30层 发表时间: 04-01-14 17:31

回复: shesh [shesh]   版主   登录
87979 的值按65535取模后是真正的端口.

B31层 发表时间: 04-01-15 01:13

回复: nolove [nolove]   论坛用户   登录
这么说我的端口是22444了!~

B32层 发表时间: 04-01-15 16:23

回复: zybzc [zybzc]   论坛用户   登录
有HO`

B33层 发表时间: 04-01-16 01:16

回复: nolove [nolove]   论坛用户   登录
取模之后就连不上的!~
这个又是为什么?


B34层 发表时间: 04-01-17 13:42

回复: hannyu [hannyu]   论坛用户   登录
大家别挣了,如果可以取模的话也是没意义的

B35层 发表时间: 04-01-17 14:23

回复: laievf [laievf]   论坛用户   登录
试试
telnet 61.141.32.19 65616
大于65535````

B36层 发表时间: 04-01-20 19:47

回复: cg2327 [cg2327]      登录
老大呀
不要打击我们菜鸟了好吗!??


B37层 发表时间: 04-01-20 22:02

回复: happyname [happyname]   论坛用户   登录
是可以TELNET但没有显示就跟主机失去连接了!




B38层 发表时间: 04-01-26 13:15

回复: NetDemon [netdemon]   ADMIN   登录
纠正一下无可非议说的

如果设置了高于65535的端口,实际使用的端口是按 65536取模,而不是按65535取模

TCP/IP协议能使用的端口范围是 0 -- 65535 共 65536个,65536为2的16次方,是16bits二进制数的模

如果设置端口为 87979 实际使用的端口为 22443

B39层 发表时间: 04-01-27 00:04

回复: shoutsky [shoutsky]   论坛用户   登录
明白了

B40层 发表时间: 04-01-30 14:55

回复: TomyXu [tomyxu]   论坛用户   登录
或许不是真正的高于最高端口了呢?
  只是一种技术,用来欺骗FIRE WALL的呢?

B41层 发表时间: 04-01-31 23:32

回复: myjian [myjian]   论坛用户   登录
期待回答!!!!!!!!!!!!!!!!!

B42层 发表时间: 04-02-01 10:36

回复: bridex [bridex]   论坛用户   登录
不能.

B43层 发表时间: 04-02-02 11:53

回复: bridex [idkey]   论坛用户   登录
有些木马可以调,
有些不能.

B44层 发表时间: 04-10-08 07:57

回复: authen [authen]   论坛用户   登录
收藏!



B45层 发表时间: 04-10-08 08:24

回复: BrideX [bridex]   论坛用户   登录
WINSHELL4。0可以调到65535以上。
相关下载网址 http://www.google.com/search?hl=zh-CN&inlang=zh-CN&ie=GB2312&newwindow=1&q=WINSHELL+v4.0&lr=lang_zh-CN%7Clang_zh-TW



B46层 发表时间: 04-10-10 08:51

回复: yutou [yutou]      登录
本贴经过讨论,让我了解很多,xiean 老兄真是高手

B47层 发表时间: 04-11-05 08:19

回复: lijingxi [lijingxi]   见习版主   登录
都是高手! 真牛X

B48层 发表时间: 04-11-05 09:04

回复: BrideX [bridex]   论坛用户   登录
我可不是高手哦
:)

B49层 发表时间: 04-11-05 09:21

回复: dhb133 [dhb133]   论坛用户   登录
只有灰鸽子的断口才可以取模吗 ?要是其他木马都可以取模的话,那不就可以高与65535了!!!

B50层 发表时间: 04-12-01 08:47

回复: xiejun73 [xiejun73]   论坛用户   登录
TCP和UDP协议规定了报文中端口号的长度为16位,因此不能用65535以上的端口号。若用了根据操作系统的不同有不同的结果,即使成功肯定实际上用的是65535以内的端口号,如用其低16位。

B51层 发表时间: 04-12-02 10:13

回复: qmdjzgqt [qmdjzgqt]   论坛用户   登录
争来争去,没多大意思啊。
较真!

B52层 发表时间: 04-12-07 19:11

回复: kellywang [kellywang]   论坛用户   登录
你真的应该看看书了~!

B53层 发表时间: 04-12-09 09:11

回复: tom_grace [tom_grace]   论坛用户   登录
如果使用大于65535的端口,实际取模得到一个65535以下的端口,那这样是否能骗过防火墙呢!?


另外向xiean说的重做tcp/ip for win32驱动隐藏端口,那网卡对这个端口进出的数据是否还会有记录???我指的是收发包上的记录!另外sniffer 呢?

[此贴被 tom_grace(tom_grace) 在 12月10日10时48分 编辑过]

B54层 发表时间: 04-12-10 09:06

回复: TomyChen [quest]   版主   登录
为什么都围着操作系统说个不停?
为什么不自己动手去试一下?
xiean的 rfc 文档还不能证明,还是有错误的rfc能保留到今天?

再说,这不是操作系统的问题,而是tcp/ip协议本身的问题啊。从rfc文档上已经很明确的说出端口的具体位置了。而在MSDN,BSD Man中也有说明。

而在实际开发代码中,对端口号的的转换函数返回值是一个u_short,也就是unsigned short
而unsigned short int 只有2个BYTE的长度,加上无符号型,也就是取址范围是0-65535
也就是xiean帖中说到的
引用:

你再看上面的图就该明白,在 TCP/IP 的报文中,源端口和目标端口都只有 16 bits,也就是
0000 0000  0000 0000
^^^^^^^^^  ^^^^^^^^^
  00~FF      00~FF



我不可否认,你可以写出一个高端口的木马,基于高于一个DWORD(unsigned long),但是你不能否认的一个问题是,网络并不是因为你一个人而存在,也就是说你可以把内核改到变形,改到面目全非,但这样的木马只适合你自己用,也就是NetDemon在上提到的一个前提,要你装上自己开发的操作系统和协议的机器来使用。因为现在使用的ipv4无法满足你的要求,至少你没办法修改ISP的交换机、路由器的内核和协议。如果你认为你可以在网络上不使用任何网络设备的话,那就接着坚持高于65535,至少我没这本事

B55层 发表时间: 04-12-15 00:24

回复: qkong [qkong]   论坛用户   登录
最进翻看以前的书看了下。。
原来真有个木马端口是在65535以上的。。
哈哈。。。不知道是不是书上写错了(这个可能性不大)
但它又是怎么运行的呢。。就这个问题了。。

B56层 发表时间: 04-12-15 16:05

回复: iced [iced]   论坛用户   登录
回复: NetDemon [netdemon]    ADMIN 回复  收藏 
纠正一下无可非议说的

如果设置了高于65535的端口,实际使用的端口是按 65536取模,而不是按65535取模

TCP/IP协议能使用的端口范围是 0 -- 65535 共 65536个,65536为2的16次方,是16bits二进制数的模

如果设置端口为 87979 实际使用的端口为 22443


============================
this is right


B57层 发表时间: 04-12-15 18:30

回复: BrideX [bridex]   论坛用户   登录
回复: 情空 [qkong]    论坛用户 回复  收藏 
最进翻看以前的书看了下。。
原来真有个木马端口是在65535以上的。。
哈哈。。。不知道是不是书上写错了(这个可能性不大)
但它又是怎么运行的呢。。就这个问题了。。




我也觉得不太对劲?想不通。

下一个那样的木马玩玩。



B58层 发表时间: 04-12-17 16:33

回复: qmdjzgqt [qmdjzgqt]   论坛用户   登录


B59层 发表时间: 04-12-17 17:11

回复: huangqian [huangqian]   论坛用户   登录
不明白,实在是不明白啊~~~我的命好苦啊我怎么什么都不明白啊

B60层 发表时间: 04-12-17 20:24

回复: auan [auan]   论坛用户   登录
TCP/IP上只到65535啊

B61层 发表时间: 05-01-13 21:30

回复: m-k [zc9399mk]   论坛用户   登录
我的机子还有7856436端口呢?
活见鬼!也许是我水平太底了!我不知道!对不起

B62层 发表时间: 05-01-13 22:03

回复: ruying [ruying]   论坛用户   登录
世界之大无奇不有

B63层 发表时间: 05-01-15 17:58

回复: xiaoliu6 [xiaoliu6]   论坛用户   登录
  我觉得xiean说的有道理,受益了,谢谢拉,计算机WIN处理也是65535吧,不可能开到65535以上吧

B64层 发表时间: 05-01-18 11:47

回复: Nameless [nameless]   论坛用户   登录
有可能,不过不能用一般的方法,木马要包含驱动程序,在IP层截获并处理数据包


B65层 发表时间: 05-02-02 19:18

回复: lincoln [lincoln]   论坛用户   登录
走过,仔细看了,收获颇丰。谢谢楼上各位

B66层 发表时间: 05-02-02 23:22

回复: zoull2004 [zoull2004]   论坛用户   登录
我们老大在39楼已经说的很清楚了,你们还挣什么

B67层 发表时间: 05-02-05 13:13

回复: threetree [threetree]   论坛用户   登录
晕!!你不会看看xiean的帖子呀!

B68层 发表时间: 05-02-09 08:49

回复: BrideX [bridex]   论坛用户   登录
OSI 体系结构中可以任意端口,1~无数个
TCP/IP环境中可以调很高,就是高于正常值65535,已是9年前的秘秘,现在不是什么秘秘了.
不少国家的黑客老手在几年前就用这类手段和方式,已经不算是什么技术了。
很多木马可以调,只有一小部分木马调太高后会不正常。
菜鸟和新手们可经试试.
玩木马可别玩太过火了,必竟入侵技术才是真正的技术,当然编木马的技术更吊。最吊的是写安全溢出工具的高手。偶服,就像warning3。。。。。。

B69层 发表时间: 05-03-02 10:33

回复: Domain [aomin]   论坛用户   登录
我认为也是可以的
只是技术不到而已!~
还有就是所谓的
      ”一个木马的端口在65535端口上“
也比不是说是在65535之上,比如65536.65537......
而是某些木马可不可以在高端口使用而已~


B70层 发表时间: 05-03-19 14:07

回复: zhuhewd [zhuhewd]   论坛用户   登录
不懂

B71层 发表时间: 05-03-20 01:13

回复: niekui [niekui]   论坛用户   登录
 黑客在攻击计算机时并不是从天而降,而是实实在在的从你的计算机"入口"中出入,这个"入口"就是我们平常所说的"端口",它包括计算机的物理端口,如我们常见的串口,并口,USB接口等.随着网络技术的发展,原来物理上的接口(如键盘,鼠标,网卡,显示卡等输入/输出接口)已不能满足网络通信的要求,TCP/IP作为网络通信的标准协议就解决了这个通信难题.TCP/IP协议集成到操作系统内核中,并引入一种称之"Socket"(套接字)"应用程序接口,有了这样一种接口技术,一台计算机就可以通过软件方式与任何一台具有Scoket接口的计算机进行通信.
  有了这些端口后,这些端口又如何工作呢?例如一台服务器为什么可以同时是Web服务器,也可以是FTP服务器,还可以是邮件服务器呢?其中一个很重要的原因是各种服务采用不同的端口分别提供不同的服务,比如通常TCP/IP协议规定Web采用80端口,FTP采用21端口,而邮件服务采用25端口等.这样一来,通过不同的端口,计算机就可以与外界进行互不干扰的通信.
  服务器端口树最大可以有65535个,但实际上通常的端口才有十几个,由此可以看出来定义的端口相当多.为了定义某个端口就要依靠某个程序在计算机启动之前自动加载到内存,强行控制计算机打开那个特殊的端口,这个程序就是"后门"或"木马"程序.
  端口的分类依据其参考对象不同有不同的划分方法,如果从这些端口的性质来分,通常可以分为以下3类
  1.公认端口:这类端口也称为常用端口,这类端口的号从0到1023,他们紧密绑定于一些特定的服务.通常这些端口的通信明确表明了某种服务的协议,这种端口是不可再重新定义它的作用对象.例如:80端口实际上总是HTTP通讯所使用的,而23端口则是Telnet服务专用的,这些端口通常不会被木马这样的黑客程序利用.
  2.注册端口:端口号从1024到49151,实际上,机器通常从1024起动态分配端口,它们松散的绑定与一些服务器上.这些端口多数没有明确的定义服务对象,不同程序可根据实际需要自己定义,例如7626和6267分别是冰河木马和广外女生木马的端口.
  3.动态或私有端口:端口号从49152到65535.理论上,不应吧常用服务分配在这些端口上.实际上,有些较为特殊的程序,特别是一些木马程序就非常喜欢用这些端口,因为这些端口常常不被引起注意,容易隐蔽.

B72层 发表时间: 05-03-23 16:12

回复: DarK-Z [bridex]   论坛用户   登录
在局网同一路由器下,可以用65535以上端口木马,测试过。
但是一过路由器,就不行了。
大家能过路由器连其它电脑的65536以上木马端口么?



B73层 发表时间: 11-03-06 03:22

回复: bking [bking]   版主   登录
我觉得这个问题 几位BOSS已经解释得很清楚了。    我是来留名的。 必须的

B74层 发表时间: 11-03-06 22:52

回复: snpgklkhgm [snpgklkhgm]   论坛用户   登录
http://hackvip.com/index.html

B75层 发表时间: 11-04-10 04:09

回复: snpgklkhgm [snpgklkhgm]   论坛用户   登录
求木马高手一条龙,长期合作,联系QQ 77931677  手机13642424255  诚意来。

B76层 发表时间: 11-04-10 04:17

论坛: 黑客进阶

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号