鬼仔's Blog

作者：lcx

原来是NP写的，代码在这里

我修正了几个小bug。加了一个在对方机器上直接生成一个down.vbs，用来下载用。这个down.vbs的用法看这里：
阅读全文 »

作者：NP

一个vbs脚本，渗透内网用的。
PS:此脚本支持回显！
阅读全文 »

来源：菠萝的菠萝格

Welcome!各位ScriptKid，欢迎来到脚本世界。

今天给大家带来这个连载的最后一篇。

通过前面的几篇连载，有一定脚本编写功底和WMI技术知识的同学经过一定的修改，其实已经可以实现我们的这个无进程，无文件驻留，无端口的后门以及 前面所说的下载者，U盘识别和感染等等功能。当然了，如果想真正实现对后门的控制，你还要有一个WEB SERVER以及一个管理端。如下图：
阅读全文 »

来源：菠萝的菠萝格

Welcome!各位ScriptKid，欢迎来到脚本世界。

终于到周末。可以多陪陪家人，玩玩游戏，研究研究自己感兴趣的东西了。

今天继续的是两个很简单的功能，下载指定文件到目标机器与获取目标机器任意文件。

直接来看示例代码。
阅读全文 »

来源：菠萝的菠萝格

Welcome!各位ScriptKid，欢迎来到脚本世界。

一个好的后门，肯定要有一个比较好的传播方式。比如读取本地联系人列表发送邮件，U盘感染，QQ,MSN传播等等。利用WMI提供的强大windows管理接口来实现多样的传播方式非常简单。这里我只介绍一下U盘方式。

Win32_LogicalDisk类提供了很好的识别各类驱动器的接口。我们可以很轻易的识别出我们可以感染的移动设备。来看代码：
阅读全文 »

来源：菠萝的菠萝格

Welcome!各位ScriptKid，欢迎来到脚本世界。

今天忙了一天，比较累。不废话那么多了，切入正题。

这个“三无”后门的核心就是WMI中的永久事件消费者ActiveScriptEventConsumer（以下简称ASEC）。WMI中有许多这 类的事件消费者，简单的来说，当与其绑定的事件到达时，消费者就会被触发执行预先定义好的功能。例如可以用来执行二进制程序的 CommandLineEventConsumer等等

ASEC是WMI中的一个标准永久事件消费者。它的作用是当与其绑定的一个事件到达时，可以执行一段预先设定好的JS/VBS脚本。
阅读全文 »

来源：菠萝的菠萝格

Welcome!各位ScriptKid，欢迎来到脚本世界。

这年头，貌似除了我们呼吸的空气，什么都有假的，有的假的比那真的还真的。更别说在0101的虚拟世界了。hi，请问你是阿猫还是阿狗？:)

如何从一大堆诸如VMWARE之类的软件所模拟的假网卡中找到那块我们需要的真实的物理网卡并且确定确实有个真的网线插在上面，是摆在我们面前的第一个问题。更何况，用MAC地址来进行机器管理，相对还比较可靠^0^

WMI里主要有关网卡的类有三个：Win32_NetworkAdapter,Win32_NetworkAdapterConfiguration和Win32_NetworkAdapterSetting，都是位于CIMV2名称空间。
阅读全文 »

来源：菠萝的菠萝格

Welcome!各位ScriptKid，欢迎来到脚本世界。从今天开始小弟我会连载这篇《利用WMI打造完美“三无”后门》。

序章

在正式开始之前，请允许小弟先介绍一下时代背景，人物性格。

这个后门完成于2006年的这个时候。其主要的思路来自于zzzevazzz大虾的《深入挖掘windows脚本技术》，感谢zzzevazzz提 供了一个这么好的思路。其另外的一篇《Do All in Cmd Shell》也是一篇非常不错的文章。顺便提一句，本文欢迎一切形式的转载，复制粘贴，但请至少保留zzzevazzz字样，谢谢。

在这篇连载里我不会向大家介绍一个完整的可运行的wmi后门代码，而会将其按照运作的流程结构以及功能，分别给大家介绍一下强大的wmi和vbscript脚本带给我们的好处。有想用来干坏事的同学请自行研究，You are not Welcome.
阅读全文 »