冰河木马与后门攻击 – 作者:Zxl2605

*严正声明:本文仅限于技术讨论与分享,严禁用于非法途径。

简介

冰河木马开发于1999年,跟灰鸽子类似,在设计之初,开发者的本意是编写一个功能强大的远程控制软件。但一经推出,就依靠其强大的功能成为了黑客们发动入侵的工具,并结束了国外木马一统天下的局面,跟后来的灰鸽子等等成为国产木马的标志和代名词。HK联盟Mask曾利用它入侵过数千台电脑,其中包括国外电脑。

实验环境:

WinServer 2003为攻击机:(10.10.29.128

WinXP为靶机:(10.10.29.134

实验步骤

1,在WinServer 2003上运行冰河木马客户端,制作冰河木马;打开冰河木马

1622727308_60b8da8cdc509b4aa7b7f.png!small?1622727309566

打开服务器配置

1622727354_60b8daba0021dc7443a75.png!small?1622727354590

设置访问口令

1622727375_60b8dacf44f90be8254d5.png!small?1622727375824

设置邮箱通知

1622727393_60b8dae1391361116ae66.png!small?1622727393824

点击确定

1622727418_60b8dafa0d6b53f8b3c4a.png!small?1622727418590

2,在WinXP上种入冰河木马(服务器),用WinServer 2003控制WinXP

将攻击机上的G_Server.exe复制到靶机WIN XP上

1622727474_60b8db324284d533378fd.png!small?1622727474809

双击该病毒,并观察后台任务管理器

1622727494_60b8db46648625e06b6c7.png!small?1622727497540

关闭此进程,删除G_Server文件

1622727531_60b8db6b668644ca58e0c.png!small?1622727531990

新建任意的TXT文档,并打开,看看后门是否能够自动启动

1622727547_60b8db7b96f3d5ed45ccc.png!small?1622727548298

1622727556_60b8db841a403f8d095d4.png!small?1622727557035

后门程序启动了

3,远程卸载冰河木马

扫描靶机

1622727590_60b8dba6b62131ebbf684.png!small?1622727591356

显示ok说明可以进行连接

此时可以访问此肉鸡

1622727612_60b8dbbc67114b9f48c7b.png!small?1622727613048

卸载

检查系统文件,删除C:\Window\system32下的 Kernel32.exe和 Sysexplr. exe文件。

1622727668_60b8dbf4e76db5c6e94b5.png!small?1622727669678

1622727676_60b8dbfc80d95666d58b3.png!small?1622727677150

1622727684_60b8dc0464cfb0d36ab8f.png!small?1622727685137

1622727690_60b8dc0a55272303d33c3.png!small?1622727690893

4,将冰河木马与普通程序捆绑,再次在WinXP上种入冰河木马,通过冰河远程查看WinXP主机系统信息。

打开exe捆绑软件,第一个选择你的游戏程序;

1622727701_60b8dc151812e9ad0c26b.png!small?1622727701701

第二个选择你的木马程序;

1622727720_60b8dc280c55274639d35.png!small?1622727720556

指定保存的路径:

1622727740_60b8dc3c6bf4692c6f44f.png!small?1622727741048

点击开始捆绑,成功后将木马拷贝被攻击方再测试一遍,

1622727768_60b8dc58a6b2166a6c22d.png!small?1622727769496

木马文件

1622727790_60b8dc6e8bba4c89887c0.png!small?1622727791224

WinXP上种入冰河木马(红心大战1)并双击

1622727808_60b8dc8071d4c0c22848f.png!small?1622727812527

重新搜索机子

1622727824_60b8dc9023a140edbdbd7.png!small?1622727825226

在windows2003上面查看WinXP主机系统信息

1622727839_60b8dc9f7cb64fab0816c.png!small?1622727840692

来源:freebuf.com 2021-06-03 21:45:58 by: Zxl2605

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论