黑客攻防技术内幕-入侵者攻击方法(4)

例如：

cmd dir

cmd type c:\test.txt

run [filename]  运行命令

例如：

run c:\test.wav

run c:\windows\system\msconfig.exe

run c:\screen.jpg

chat [messages you want to send]  打开聊天窗口和被控机聊天

例如：

chat 你好

chat # (这个表示关闭聊天窗口)

changetelnetport [port]  远程修改telnet端口

例如：changetelnetport 23，表示把telnet端口修改为 23，服务端重启(restart)后才能   生效。

changeftpport [port]  远程修改ftp端口

例如：changeftpport 21，表示把ftp端口修改为 21，服务端重启(restart)后才能生效。

changehttpport [port]  远程修改http端口

例如：changehttpport 80，表示把http端口修改为 80，服务端重启(restart)后才能生效。

changepasswd [new password]  远程修改telnet密码

例如：changepasswd 123456，表示把telnet密码修改为 123456，服务端重启(restart)后才能生效。

Viewsetup  远程查看当前配置

Restart  远程重启bluefire服务端,使修改的设置生效

快捷命令如表5-1所示。

表5-1  快捷键命令说明

(5) 基于http控制，在浏览器的地址览中输入：

http://192.168.100.17

如图5-22所示。

图5-22  基于http控制

提示：

根据控制菜单，进行相对应的操作。

(6) 基于FTP管理，在浏览器的地址览中输入：

ftp://192.168.100.17

如图5-23所示。

注意：

这时可以对文件进行添加删除操作。也可以使用一些FTP工具或在DOS下(如图5-24所示)进行目标机的管理。

图5-23  基于FTP管理

清除方法：

请参阅3.2.2节中蓝色火焰清除方法。

图5-24  基于在提示符下FTP管理

● 远程登录程序WinShell v5.0

介绍：WinShell是孤独剑客的得力之做，是一个运行在Windows平台上的Telnet服务器软件，主程序是一个仅仅5k左右的可执行文件，可完全独立执行而不依赖于任何系统动态连接库，尽管它体积很小，却功能不凡！WinShell是使用C语言写成的，但WinShell结合了SDK、Winsock、Muti-Thread、Pipe、NT Service、Registry、Authentication和Anti-DDOS等编程技术。

功能：支持定制端口、密码保护、多用户登录、NT服务方式、远程文件下载、信息自定义及独特的反DDOS功能等。

运行平台：Windows 9X、Windows ME、Windows NT、Windwos 2000、Windows XP

大小： 定制WinShell的主程序为100K

       WinShell主程序为5K

使用方法：

测试系统：Windows 2000 Professional

测试计算机：61.185.151.2

(1) 双击运行定制WinShell的主程序。

(2) 打开定制WinShell的主程序后，根据需要设置Winshell程序，如图5-25所示。

图5-25  定制WinShell的主程序的界面

选项说明如下：

Port  winshell：运行后监视的端口号，默认为5277。

Password：登录winshell时候需要的密码，默认为无密码。

Password Banner：当登录winshell时要求输入密码的提示信息，默认为“Password:”，可设置为空，即无提示信息。

SvcName：当winshell在Windows NT系统中以服务方式运行时的服务名称，默认为WinShell。例如：微软的FTP服务的服务名为msftpsvc。

RegKeyName：在Windows 9x系统中安装winshell时，为了在系统启动后能自动运行，winshell写在注册表路径如下。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run处的字符串名，默认为WinShell，其值也为字符串类型，例如：c:\windows\winshell.exe。

DisplayName：显示在NT服务列表中服务的名称，一般为英文，默认为Windows Shell Service，例如：微软的FTP服务的显示名为FTP Publishing Service。

Description：显示在NT服务列表中说明服务具体功能的字符串，默认为Provide Windows Shell Service，例如：微软的FTP服务的服务描述信息为“通过 Internet 信息服务的管理单元提供 FTP 连接和管理”，需要说明的是该项在NT4.0中不支持，在Windows 2000和Windows XP中才有效。

AutoInstall：选择当winshell运行的时候是否自动安装。

DownExec：选择当winshell运行的时候是否自动下载可执行文件并运行。

Url Address：被自动下载的可执行文件的URL地址。例如：http://www.abc.com/svr.exe。

Destination Filename：可执行文件被下载后存放的文件名，包括全路径。例如：c:\svr.exe。

Compress WinShellServer：默认状态下，定制winshell的主程序会生成一个压缩过的体积很小的WinShell服务端，当然也可以不选择，而使用其他压缩或保护程序对生成的WinShell服务端进行处理。

(3) 设置完成后，单击Mack就会生成一个WinShell服务端文件。

(4) 在建立与61.185.151.2计算机IPC$连接后，将server.exe上传到目标计算机中，通过AT命令启运server.exe，在命令提示符下输入如下命令：

   telnet 61.185.151.2 5277

就可通过5277端口远程登录到对方计算机，如图5-26所示。

图5-26  通过5277端口远程登录到对方计算机

提示：

在Windows 9x下可以直接运行server.exe，即可远程登录目标机。

命令使用说明如下。

i Install                远程安装功能，当你仅仅执行winshel而没有安装winshell的时候

r Remove                  远程反安装功能，注意此命令并不终止winshell的运行

p Path               查看winshell主程序的路径信息

b reBoot             重新启动机器

d shutDown                关闭机器

s Shell               执行后就会看到C:\>，这正是winshell提供的telnet服务功能

x eXit               退出本次登录会话，注意此命令并不终止winshell的运行

q Quit               终止WinShell的运行，注意此命令并不反安装WinShell

(5) 测试完成。

● 远程登录程序tini.exe

介绍：tini是一款在同类软件中非常优秀的后门程序，说它优秀是由于它的体积只有3K，而且没有木马的特性，只是利用Windows本身的服务。

功能：如果对方执行后，就可以远程登录连接到对方的7777端口，利用DOS命令控制对方。

运行平台：Windows 9x、Windows NT、Windows 2000

大小：3K

使用方法：

测试系统：Windows 2000 Professional

测试计算机：192.168.0.75

(1) 当对方运行Tini后，可以通过Telnet连接对方的7777端口，远程登录到对方的系统。

(2) 选择【开始】→【运行】命令，然后在【运行】对话框的【打开】下拉列表中里输入如下命令：

telnet 192.168.0.75 7777

如图5-27所示。

图5-27  以7777端口远程登录到目标机

(3) 输入完成后单击【确定】按钮，就可以远程登录到对方的服务器，如图5-28所示。

图5-28  通过7777端口远程登录到目标服务器