木马的使用
八:木马的使用
也许你通过各种方法得到一台WIN2K机器的管理权限,你想你的行为不被管理员发现,或者需要在这台机器所在的网络中扩大影响,你需要收集登陆到这个机器上的用户密码达到你的目的,但你不可能用普通的木马来记录他们的登陆密码,WRY?那我们来复习一下WIN2K用户登陆的机制:
在本地登陆到WIN2K系统时,通过后台的winlogon.exe,Lsass,执行验证检查的DLL以及SAM或者活动目录来相互作用。用户登陆时的过程相当繁琐,好歹WIN2K也是WINNT4这个C2级安全的系统的进化版,如果你对WIN2K的详细登陆情况很有兴趣,不妨买一本微软出的《windows2000 内部揭密》。这里只谈一下相关的内容了
GINA [Graphical Identfication and Authorization 图形鉴定及授权] 是用户和WIN2K系统间的证人,确切地说,它是一个绝对公正的第三方,并不属于微软!微软提供了一个默认的msgina[在系统中它的存在形式是msgina.dll]它显示的就是WIN2K默认的登陆窗体,考虑到公正和未来应用扩展问题,管理员可以将这个默认GINA替换为自己的GINA,比如可以制作一个生物识别的GINA,基于人的指纹,视网膜甚至声音来登陆验证。
为了能收集登陆到WIN2K的用户密码,很显然我们只要做点手脚,换掉默认的GINA就可以了,当然登陆界面就不要改变了~:P ,只要在这个GINA木马中加入键盘记录的能力并将记录到密码保存为文件就行!
具体的操作方法[以最早的木马GINA-fakeGINA为例]:
[1] 将fakegina.dll复制到远程WIN2K主机的system32目录下
[2] 在其注册表中加入 "SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/GinaDLL=fakegina.dll"
这个键值,含义就是在WIN2K用户登陆时加载我们的木马GINA-fakegina.dll,以取代原来的msgina.dll
[3] 想办法重启这个机器,反正你有管理权限,可以用reboot.exe shutdown.exe等工具;也可以对其拒绝服务攻击使其重启,这样做的目的就是让所有需要登陆到这个机器上的用户使用上我们换的木马GINA,这样在他们感觉不到任何异常的情况下得到其密码
[4] 等待系统重启后,我们再去它的system32目录下查看,发现多出来一个passlist.txt,这里面记录的就是刚刚登陆的用户名和明文密码,之后我们就可以利用这些密码方便地进一步渗透入该WIN2K主机所在内网中!
最后的补充:如果觉得fakegina这个WIN2K登陆口令记录木马的隐蔽性还不够好,有编程基础的朋友可以编辑fakegina.dll使之个性化,甚至编写一个更强的WIN2K登陆口令记录木马!
九:木马+肉鸡
说了这么多,我们当然是找肉鸡用木马控制啦。至于找肉鸡的方法可以用扫描器扫,关于扫描器我们有专门的课程,这里就不再多说,只要我们拿到了肉鸡的权限,传一个木马,还有什么不可能的。呵呵。假设我们搞到了一个有绝对权限的个人主机,我们可以上传冰河或者广外女生来控制它,至于木马的用法还请大家自行查找。
十:网页木马
所谓网页木马,个人理解:就是当用户浏览某网页时,自动下载并运行某一“木马”程序,进而通过该程序实施控制。由于HTA具有本地用户权限,相当于一个APPLICATION,因此,我们就可以利用上面的漏洞来实现网页木马的基本功能。要实现网页木马功能,那么必须要解决木马的下载与运行问题,运行相信大家很容易就可以想到
classid=clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B>
,关键是木马的下载。
文件的操作在HTA中主要可以通过fso和ADOSTREAM两个组件来实现,但是FSO比较适合操作文本文件,要实现操作二进制文件还得用到后面的这个ADOSTREAM组件,但是我们可以发现当一个在IE里面运行的HTA程序是有作用域限制的,因此无法使用ADOSTREAM来操作本地文件。所以我们必须要在本地运行一个HTA程序,而HTA正是文本文件,所以,我们只要通过FSO来操作生成一个本地的HTA,继而运行该HTA得到我们想要达到的目的。
至于文件下载还会用到XMLHTTP这个组件,关于这个组件这里就不作介绍。网页木马的防范技巧很多,但最通用的就是如果你怀疑一个网页有木马的话,最好先察看一下网页的源文件,另外就是禁止ActiveX插件。最近一段时间,最实行的黑网站的方法就是在开了80端口的虚拟主机上种木马,然后修改主机上的网页。至于上传方法,可以入侵他的主机直接种木马,或者找有漏洞的网站写入木马。这样同样可以控制他的主机,这类的木马有很多,比较有代表性的木马就是老兵的ASP站长助手和海洋顶端的木马。
网友评论