科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道入侵技法及工具介绍大全(下)

入侵技法及工具介绍大全(下)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

介绍几个小工具和入侵的技法,网络入侵轻松搞定!

作者:论坛整理 来源:zdnet网络安全 2008年4月14日

关键字: 入侵工具 网络入侵

  • 评论
  • 分享微博
  • 分享邮件

我在把2000和nt下的后门拿出来说一下子: 
如何做个好后门是很关键的; 
1》推荐为小榕的RemoteNC,RemoteNC Beta 4 远程安装于NT/2000,提供CMD重定向功能 
因为它具有cmd的重定向,也就是调用了对方的cmd,所以可以穿过放火墙后面的主机,传递信息但是必须要是administrator的身份安装 
  唯一的不好的,现在这个软件已经被列入了病毒的行列了!我压缩了后,又被最新的kv3000杀死了! 
2》现在推荐为蓝色火焰,目前还没有被查杀了,支持ftp,telnet 等多种方式!既然你已经获得了管理员权限了! 
那么复制到对方的admin4system32改一个隐蔽的名字!! 
  然后用at命令或者直接用RemoteNC启动!,这个软件后门唯一不好处没有和exe关联! 
很容易被删除的! 
3》推荐为asp木马。这种木马永远不会被查杀!上传到对方主机有可执行的asp的目录下! 
直接可以在浏览器上直接运行的! 
比如: 
http://www.fibrlink.com/flink/apply/cmdasp.asp  
这个站点,我做的asp木马,到我写的时候,还是可以用的!希望大家只是用来测试! 
4》推荐为tini.exe这个后门软件,据说是永远不会被查杀的软件,因为它用的是window的shell通道!!呵呵!但是,我在测试的时候还是会被最新的锘盾杀死的! 
  复制到对方主机上,运行后 
就可以telnet对方的7777断口了! 

如何把自己的后门程序隐藏的比较好? 
1。取比较和系统文件的名字,比如:asp.exe管理员在删除的时候就的考虑了! 
2。用attrib隐藏文件了。但是这样只是表面的隐藏! 
3。运用一些活门的程序,比如:Explorer.exe 一般的这个程序都是在键值shell下的! 
每次都会运行的!那么每次你的后门程序都会启动! 
4。隐藏在数据流里!(稍后介绍) 

后门做好了,不要万事大吉了!还要删除了自己的记录! 

 Windows2000的日志文件通常有应用程序日志,安全日志、系统日志、smtp服务器日志,DNS服务器日志、FTP日志、WWW日志等等,可能会根据服务器所开启的服务不同而有所不同。还有一些网络管理软件的日志,说到这里,记得新浪的网管软件是自己开发的,如果不了解这个,可能会留下更多的记录!!! 

1) Scheduler日志 

Scheduler服务日志默认位置:2000下: %sys temroot%schedlgu.txt NTworkstation下为 SchedLog.txt 
可以打开schedlgu.txt 
Schedluler服务日志在注册表中 
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent 
先停掉他 net stop "task scheduler" (注意不停是删不掉的) 
然后再 del schedlgu.txt 或 schedlog.txt之后就OK了. 
del sched*.txt 
不过你如果不想删他,也可以改改它. 他的内容是这样的: 
" "任务计划程序服务" 
已退出于 01-5-22 20:37:34 
"任务计划程序服务" 
已启动于 01-5-25 7:07:37 
"任务计划程序服务" 
已启动于 01-5-25 7:26:36 
"任务计划程序服务" 
已退出于 01-5-25 8:47:54 " 
很好改的. 

(2) FTP日志 

Internet信息服务FTP日志默认位置:%sys temroot%sys tem32logfilesmsftpsvc1,默认每天一个日志. 
格式是这样的 ex*.log . 
注意这是一台NT4的LOGFILES下的文件: 
这台服务器下管理有多个HTTP或FTP站点 

c:winntsys tem32logfiles 的目录 

00-12-04 06:28p . 
00-12-04 06:28p .. 
01-05-18 12:56p MSFTPSVC1 
01-04-23 11:28a MSFTPSVC2 
01-01-12 11:56a MSFTPSVC3 
01-06-01 08:12a SMTPSVC1 
01-09-20 08:55a W3SVC1 
01-08-02 10:36a W3SVC10 
01-10-11 04:48p W3SVC11 
01-07-11 09:16a W3SVC2 
01-10-11 10:31a W3SVC3 
01-10-10 04:55p W3SVC4 
01-09-28 01:43p W3SVC5 
01-10-11 08:44a W3SVC6 
01-10-11 08:00a W3SVC7 
01-09-30 01:49p W3SVC8 
01-10-11 08:03a W3SVC9 

看看日志文件的格式: 
c:winntsys tem32logfilesmsftpsvc1in010306.log 
192.168.5.8, anonymous, 01-3-6, 16:41:51, MSFTPSVC1, APPSERVER, 192.168.5.8, 0, 
0, 0, 331, 0, [3]USER, anonymous, -, 
192.168.5.8, -, 01-3-6, 16:41:51, MSFTPSVC1, APPSERVER, 192.168.5.8, 0, 0, 0, 53 
0, 1326, [3]PASS, IE30User@, -, 
法一:> 这个时侯 net stop msftpsvc 停掉后台服务. 
然后尽管 del ............ 
看这删吧,不要删的过火,把当天的删了就行. 别忘了再NET START MSFTPSVC 把服务打开. 
法二:> 当然你如果还想更好,那就改改日志,可以改了系统时间后再改日志,只把你的清了,别忘了把时间改回来哦 
实际上在得到ADMIN权限后,做这些事很容易. 

法三 最傻瓜的清FTP日志的方法, cleaniislog !! 

以上,难免有错误之处,因为俺也是个很菜的鸟,请高手赐教!有的地方,我懒的写就直接拿过来了!希望作者谅解!文章也很散乱,主要俺也是个很懒的人。只求菜鸟们能理解 

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章