经典后门实例之扩展后门

安全 黑客攻防
Wineggdroup shell是扩展后门中很具有代表性的一个,本文通过距离运用Wineggdroup shell,使用户和管理员更深层的理解扩展后门的应用,进而提升自我防护意识。

所谓扩展后门,顾名思义,就是扩展后门的功能,将许多的功能都集中到了后门里,使得后门几乎万能化,可以直接控制肉鸡或者服务器。扩展后门很受初学者喜爱,通常集成了文件上传/下载、系统用户检测、HTTP访问、终端安装、端口开放、启动/停止服务等功能,本身就是个小的工具包,功能强大。

Wineggdroup shell

类型:系统后门

使用范围:win2000/xp/2003

隐蔽程度:★★★★☆

使用难度:★★☆☆☆

危害程度:★★★★☆

查杀难度:★★★★☆

这个后门是扩展后门中很有代表性的一个,功能这全面让人叹为观止,它能实现如下比较有特色的功能:进程管理,可查看,杀进程(支持用进程名或PID来杀进程);注册表管现(查看,删除,增加等功能);服务管理(停止,启动,枚举,配置,删除服务等功能)端口到程序关联功能(fport);系统重启,关电源,注销等功能(reboot,poweroff,shutdown,logoff);嗅探密码功能;安装终端,修改终端端口功能;端口重定向功能(多线程,并且可限制连接者IP);HTTP服务功能(多线程,并且可限制连接者IP);Socd5代理功能(支持两种不同方式验证,可限制连接者IP);克隆账号,检测克隆账户功能(clone,checkclone);加强了的FindpassWord功能(可以得到所有登录用户,包括使用克隆账户远程登录用户密码);HTTP代理(完全匿名,支持oicq、 MSN、mirc等程序);其他辅助功能,http下载,删除日志,系统信息,恢复常用关联,枚举系统账户等。

当网络上刚推出这个后门的时候,非常多的人用它来替换自己原来使用的后门,一时间各处赞扬之声迭起,但多为一些普通的打捞手的心声,其实它和“后门”的原始定义是有出入的:一旦你需要实现越多的功能,那你的程序在执行、隐藏、稳定等方面就需要考虑非常多的问题,一个疏忽就会导致全盘皆败,所以不建议将此后门用在需要非常隐蔽的地方。

运用举例

在安装后门前,需要使用它自带的EditServer.exe程序对服务端进行非常详细的配置,从10个具体配置中,包括了插入线程、密码、IP登录邮件通告等方面,不难看出它的功能是非常强大的,隐蔽性也很强,下面说几个在入侵中常用的功能,相信经常玩入侵的朋友一定能发现它的强大之处:

Fport:列出进程到端口的列表,用于发现系统中运行程序所对应的端口,可以用来检测常见的隐蔽的后门。

Reboot:重启系统,如果你上传并运行了其他后门程序,并需要重启机器以便让后门正常工作,那使用这个命令吧!

Shell:得到一个Dos Shell,这个不多讲了,直接得到服务器或者肉鸡上的cmd shell。

Pskill PID或程序名:用于杀掉特定的服务,比如杀毒软件或者是防火墙。

Execute程序:在后台中执行程序,比如sniffer等。[url=http://ip/]http://ip/[/url]文件名 保存文件名:下载程序,直接从网上down一个后门到服务器上。

Installterm端口:在没有安装终端服务的win2k服务版的系统中安装终端服务,重启系统后才生效,并可以自定义连接端口,比如不用3389而用其他端口。

StopService/StartService:停止或者启动某个系统服务,比如telnet。

CleanEvent:删除系统日志。

Redirect:TCP数据转发,这个功能是后门程序中非常出色的一个功能,可以通过某一端口的数据转发来控制内网的机器,在渗透入侵的时候非常管用!

EnumService:列举所有自动启动的服务的资料,比如后门、木马。

RegEdit:进入注册表操作模式,熟悉注册表的使用者终于在后门中找到了福音!

Findpassword:得到所有登录用户密码,比我们常用的findpass功能可强多了。

……

总体来讲,Wineggdrop shell是后门程序中很出彩的一个,它经过作者几次大规模的修改和升级,已经趋于稳定,功能的强大当然没得说,但是由于功能太强大,被查杀和怀疑是难以避免的,所以很多人在使用Wineggdrop shell一段时间后就发现肉鸡飞了,其实是很正常的事,我你出不用气馁,其实用很简单的方法就可以很好地提高它的隐蔽性,下文将有说明。

相对于Wineggdrop shell来说,独孤剑客的winshell在功能上就不那么全面了,但是笔者推荐新手更多的使用winshell而不是Wineggdrop shell,因为winshell功能除了获得一个shell以外,只加入了一些重启、关闭服务器的命令,功能相对简单,但完全使用系统自带的cmd来执行命令,对系统学习和掌握也是非常有帮助的!

Winshell和wolf这两者都是国内早期顶尖的后门程序,程序的编制无疑是非常经典的,新手学习时使用这两款后门一定能让你明白很多系统相关东西,了解很多入侵思路和方法。

 

【编辑推荐】

  1. 浅谈后门的概念与分类
  2. 经典后门实例之网页后门
  3. 经典后门实例之线程插入后门
  4. 开源软件为黑客们开好后门?
  5. 用Mysql语句来生成后门木马方案

 

责任编辑:张启峰 来源: 中国IT实验室
相关推荐

2010-09-13 14:47:58

2010-09-13 15:14:03

2010-09-13 14:57:29

2010-09-13 15:26:34

2011-03-31 09:25:13

2011-03-31 08:56:32

2011-03-31 09:25:06

2011-03-31 09:25:10

2010-07-21 15:56:04

2010-08-31 10:00:55

LinuxICMP

2011-11-25 15:34:33

2023-01-06 08:42:02

学习训练

2013-08-09 09:50:34

2010-08-02 14:36:52

ICMPLinux

2020-11-06 00:00:00

PHP技巧后门

2014-03-06 17:52:25

2018-01-11 09:51:34

2010-08-26 11:15:47

LinuxICMP后门

2009-07-07 17:10:04

创建UNIX后门

2011-03-30 10:53:45

点赞
收藏

51CTO技术栈公众号