用户
搜索
  • TA的每日心情
    开心
    昨天 13:08
  • 签到天数: 44 天

    连续签到: 44 天

    [LV.5]常住居民I

    i春秋-见习白帽

    Rank: 3Rank: 3

    31

    主题

    71

    帖子

    1226

    魔法币
    收听
    0
    粉丝
    1
    注册时间
    2020-10-2
    发表于 2021-4-1 15:29:25 33670
    本帖最后由 Johnson666 于 2021-4-3 18:24 编辑

    远程访问型木马——灰鸽子

    先来了解下什么是远程访问型木马:
    1.它在受害者主机上运行一个服务端,监听某个特定端口;入侵者则使用木马的客户端连接到该端口上,向服务端发送各种指令,访问受害者计算机资源。
    2.使用这类木马,只需有人运行了服务端程序,如果客户知道了服务端的IP地址,就可以实现远程控制。
    3.这类程序可以实现观察受害者正在干什么。

    再来了解下灰鸽子
    1.自2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发了安全领域的高度关注。2004年、2005年、2006年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒。
    2.灰鸽子在出现的时候使用了当时讨论最多的“反弹端口”连接方式,用以躲避大多数个人网络防火墙的拦截。

    反弹端口连接方式:
    69(}CRD8RH}GXX{5T}X}XTE.png
    一、实验目的

    1、理解远程控制型木马的实现原理,使用灰鸽子木马实现远程控制目标主机;
    2、实现木马与图片的捆绑;(两个捆绑软件)
    3、实现木马与exe程序的捆绑;

    4、将木马注册成系统服务。

    二、实验设备及环境

    计算机1台、虚拟机XP系统、虚拟机2003系统、灰鸽子软件

    三、实验步骤

    1.实验环境配置

    两个虚拟机配置为NAT模式,配置IP地址为同一网段,并且用ping命令测试连通性。

    2.安装灰鸽子软件

    (1)点击运行灰鸽子软件,将会在C盘保存一份重复的软件。

    2.png

    (2)将原文件夹中的三个文件夹拷贝至C盘。

    3.png

    (3)点击C盘的灰鸽子软件,界面如下。

    4.png

    3.服务器配置

    (1)点击界面上的“配置服务程序”图标:

    5.png

    (2)固定IP上线,填写自己本地主机的IP地址,其他默认更改保存路径和名称,保存生成服务器。

    6.png

    7.png

    8.png

    9.png

    4.木马植入

    将木马植入目标主机,点击运行,则灰鸽子软件上会自动显示上线的主机信息。

    10.png

    进行远程控制

    11.png

    捕捉屏幕,目标主机在做什么事情你都可以检测得到。

    12.png


    远程控制命令
    通过远程控制命令可以向目标主机发送系统命令。

    13.png

    命令广播
    通过命令的广播可以远程控制目标主机开关机,以及打开特定网页。

    16.png

    17.png

    命令广播中的消息广播
    14.png

    15.png

    对计算机资源的控制
    (1)对文件夹的控制,新建一个文件。

    18.png

    19.png

    (2)下载被控方的文件,也可以远程打开,被控方同样操作

    20.png

    5.木马捆绑

    5.1.散人文件捆绑器:
    先卸载木马服务端程序,源文件为图片,捆绑文件为木马,点击选择图标可更改显示的图标。

    21.png

    22.png

    点击捆绑,生成捆绑文件,点击运行,打开图片,木马上线;

    23.png

    24.png

    5.2.多文件捆绑器:
    先卸载木马服务端程序;打开捆绑软件,将图片与木马进行捆绑;

    25.png

    点击捆绑,生成捆绑文件,点击运行,打开图片,木马上线;

    26.png

    27.png

    5.3.exe捆绑软件
    1.先卸载木马服务端程序;打开exe捆绑软件,第一个选择你的游戏程序;

    28.png

    2.第二个选择你的木马程序;

    29.png

    3.指定保存的路径:

    30.png

    4.点击开始捆绑,成功后将木马拷贝被攻击方再测试一遍,即可看到木马上线。

    31.png

    32.png

    33.png

    6.木马注册成系统服务
    先卸载木马服务端程序;

    34.png

    35.png

    工具:instsrv.exe:给系统安装和删除服务
              srvany.exe:让程序以服务的方式运行
    1、命令:instsrv.exe CQLService C:\srvany\srvany.exe(其中CQL为姓名缩写)

    36.png

    2、打开注册表目录:命令行输入“regedit” ,回车;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
    3、找到“CQLService”,鼠标右击新建一个项,将其命名为“Parameters” ;
    4、进入Parameters后,在右侧窗口里新建一个命名为“Application” 的字符串值,字符串的值就是木马程序的路径地址。
    5、在右侧窗口里再新建一个命名为“AppDirectory” 的字符串值,字符串的值就是存放木马程序的文件夹路径。


    37.png


    6、启动服务:命令行输入“services.msc”,回车

    38.png

    7、木马上线

    39.png

    8、卸载服务:卸载之前应停止服务!
    instsrv CQLService remove
    40.png

    古董?
    使用道具 举报 回复
    发表于 2021-4-6 19:54:13
    虽然工具有点过时,但是在进行内网渗透的时候还是能用的上的
    有一天他会突然觉得累了甚至忘了初衷 放弃了梦想也许因为年纪的关系奔波于现实 然后拉黑了网络认识的所有人或者说不用了一个号码换了一个QQ 那么记得他叫大叔 这个网络他曾来过
    使用道具 举报 回复
    Sir 7 发表于 2021-4-6 19:54
    虽然工具有点过时,但是在进行内网渗透的时候还是能用的上的

    牛逼,大神
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册