论坛: 黑客进阶 标题: 建造永不被杀的80端口后门 复制本贴地址    
作者: hongliubo1 [hongliubo1]    论坛用户   登录
参考LCX在X档案发表过永远不被杀的的后门,自己就实验起来,只要把ASP木马放到其中一个站点中某个深的目录中,再在Internet 服务管理器面中选着这个站点(比如默认管理站点)打开修改属性->主目录中,把“应用程序保护”中改为"低",再在"写入""前面打上钩,在浏览器中输入ASP木马路径,输入密码以后进入管理页面,运行CMD命令还可以加用户之类的果然是管理员权限,呵呵用后发觉还不错,自觉以为就不错,而且上传文件都是在WEB进程上来着,而且还有系统权限,还觉得这样建立肉鸡相对来说比较安全就走了,后来想不到不过几天这个后门过几就没了,浏览上去什么都连ASP木马都没了,到底怎么回事?而且对方还搞了防火墙,只开21,80端口,眼汪汪丢去真可惜,看来管理员是察觉到了。看着我想有两个可能,一是ASP木马被杀,被管理员查到ASP木马就删了,二是那个可能管理员看到这个站点的属性改了就XXX~~~~,你也许会说用站点属性修改过的可以“写入”来写个木马上去,可是错了,管理员把默认管理站点都删了,或者者做其他修改了,昏,本来好好的后门却成了比较明显的暴露给管理员看了,而且最新的ASP也被会杀毒,看来个ASP看来这种方法也是不太隐蔽,还需要改进,突然想到可以通过后来参考建立隐藏主页,而且是虚拟目录可以设置“应用程序保护”为低的,其他站点中的目录属性是不可以设置这样的属性的,这样就不会暴露Internet 服务管理器中任何修改的迹象了,(对于一般的管理员来说,对于BT的我就不敢说了),OK我们来第一步


建立个隐藏虚拟主页(同时也可以做主页一举两得)

一般情况下,如果在肉鸡上开主页的话,只要管理员查看一下iis管理器程序,就会发现我们的主页,这样不但我们的主页暴露了,还可能会被管理员把我们给踢出去。而今天我教大家的方法是让管理员在iis管理器里发现不了方法。首先打开肉机(本例中以自己的机器为例)iis管理器,选定一个文件夹,然后点击右键,选择“资源管理器”,到网站的根目录下新建一个文件夹kiss,然后到system32上新建一个文件夹,我这里取名为myhome(这个文件夹尽量隐蔽的目录深一些,才不会被管理员发现),回到iis管理器按f5刷新就会看到kiss这个目录,选中它后,点击右键,选择“新建>虚拟目录”,我们给主个虚拟目录取名kiss,然后把这个虚拟目录指向myhome,建立完成后,现在放个首页进去,打开浏览器,输入
http://127.0.0.1/kiss/kiss就应该可?..性先,修改属性->主目录中,把“应用程序保护”中改为"低",再在"写入""前面打上钩,在浏览器中输入ASP木马路径,输入密码以后进入管理页面,运行CMD命令还可以加用户之类的果然是管理员权限,这样做就是把ASP放到system32/myhome目录下,比如你ASP木马是kiss.asp,那么放到

system32/myhome目录后,浏http://127.0.0.1/kiss/kiss/kiss.asp 就是你asp木马的路径了,让这样kiss这个目录没有了。然后打开我的电脑,找到网站的根目录,删掉kiss这个文件夹,再打开浏览器输入刚才的网址,哈哈,是不是又打开了,怎么样,一个隐藏的个人主页就这样建立完成了。这样就不再会被管理员发现了吧,你不信就把iis的管理器关了,再进入果然是没有修改的痕迹,这样也可以建立网页,如果你说这样会增加你的主页危险性,那你就重新建立个虚拟目录,不用我说了吧,再者如果再想修改你的虚拟目录的属性的话可以再在网站的根目录重新建立kiss目录,然后在iis的管理器就可以看到你的站点了

二让ASP木马不被杀

你要说是修改ASP木马其中代码或者加密等来逃避杀毒,错了,这个不用你修改,而且谁也不保证你修改过的ASP不被XX杀毒软件杀,反正我也是懒改,呵呵,我们运行CMD,cd c:\winnt\system32\myhome下也。也就是你虚拟目录转向的地址,先说一下原理大家都知道在Windows中“\”符号是路径的分隔符号,比如“C:\Windows\”的意思就是C分区中的Windows文件夹,“C:\Windows\System.exe”的意思就是C分区中的Windows文件夹中的System.exe文件,好继续我们假设一下:

如果文件名中有“\”符号会怎么样呢?假如“S\”是一个文件夹的名字,这个文件夹位于:“F:\”,他的路径就是“F:\S\”,当我们试图访问的时候Windows会错误的认为我们要打开的文件是C分区的S文件夹,这样Windows就无法打开并且会返回一个错误,因为以上的路径并不存在。

也许你现在正在尝试创建“S\”文件,但是Windows会提示你:“\”符号是不能作为文件、文件夹的名字的。看来Windows还是早已想到这一点了的。OK我们继续进行,就不信不能建立包含“\”符号的文件。

现在打开你的电脑,我们要做一些很有趣的尝试。进入Windows后 点击:开始>运行 然后输入“cmd”并会车(如果是Win98请输入“COMMAND”),这时你会看到Windows的命令控制台,我们就是要利用它完成我们剩下的测试,以下包含了很多命令其中{}中的字符是我的注释:

Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.

c:\winnt\system32\myhome>mkdir s\ {我们的第一次尝试,结果Windows只创建了S文件夹"\"被忽略掉了}

c:\winnt\system32\myhome>mkdir s\s1\ {还是失败,Windows先创建了S文件夹,然后在S内创建s1文件夹}

c:\winnt\system32\myhome>mkdir s.\ {"s.\"被解析成S".\"又被忽略了}
子目录或文件 s.\ 已经存在。

c:\winnt\system32\myhome>mkdir s..\ {终于成功了,现在你可以在资源管理器看到"s."但却无法打开/删除}

c:\winnt\system32\myhome>mkdir s...\ {又成功了,在资源浏览器能吹?s.."可以打开但是无法删除}

----------------------------------------------

为什么会这样?我们先说你看到的这个“S.”文件夹,他即不能打开也不能删除,不能打开是因为他的实际路径是“c:\winnt\system32\myhome\s..\”(我们自己创建的所以可以确定他的实际路径)但是在Windows资源管理器中名字变成了“S.”也就是说当你试图打开它的时候Windows实际上尝试打开“c:\winnt\system32\myhome\s.\”当然是不能打开的,文件并不存在,所以Windows会报错。不能删除也是因为这个,Windows把一个实际存在的文件路径错误的解析为一个不存在的路径,并进行xx作当然是无法完成的。
该说“S..”这个文件了,这个文件可以打开,但是却无法删除。等等……打开?你以为Windows真的是打开了我们创建的“s...\”文件了吗?我们做下面的试验你就明白了。还是老规矩{}是我的注释方便大家理解:
----------------------------------------------
Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.

c:\winnt\system32\myhome>copy net.asp s..\ {复制刚刚你的asp的木马文件到“s..\”,资源管理器的“S.”}
已复制 1 个文件。

c:\winnt\system32\myhome>

----------------------------------------------

现在回到你的资源管理器打开“S.”文件夹,你看到了什么?“net.asp”文件怎么会在这里?我们刚刚的确复制到了“S.”呀?难道我们打开“S.”文件夹实际上就是打开了“S”?不错事实就是这样。其实如果你再创建一个“S”文件夹的话“S.”就能打开了,但是实际上打开的是“S”。

这是关键的话题了,其实我们就利用S.目录不被杀的目的来隐藏我们的木马,不管木马都毒,可是一般来说的exe文件不能在s.这样的目录下运行的,但是asp木马却可以!可以通过浏览来执行CMD命令,把net.asp复制到s.目录后,把net.asp删了,我们在浏览器http://127.0.0.1/kiss/kiss/s../net.asp 就可以看到浏览得asp木马了到了,一般用户根本不可能发现他,就算专业级的杀毒软件也只会去杀“s”而跳过“s..\”,好了那就说一下删除方法吧

Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.

F:\Test>dir
驱动器 F 中的卷是 BGTING
卷的序列号是 2C8E-FE1C

F:\Test 的目录

2003-09-11 17:50 <DIR> .
2003-09-11 17:50 <DIR> ..
2003-09-11 18:35 <DIR> s.
2003-09-11 18:37 <DIR> s..
1 个文件 9 字节
5 个目录 3,390,029,824 可用字节

c:\winnt\system32\myhome>rmdir s..\
目录不是空的。

c:\winnt\system32\myhome>rmdir s..\ /s
s..\, 是否确认(Y/N)? y

c:\winnt\system32\myhome>rmdir s...\ /s
s...\, 是否确认(Y/N)? y

这也不用担心搞坏你肉鸡了,好了这样一个很隐蔽的后门就建立了,而且不被杀,如果在肉鸡,上述要在3389进行测试通过的。




地主 发表时间: 05-01-21 21:42

论坛: 黑客进阶

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号