冰河木马学习之监听服务端失败
這兩天學習木馬;實驗的時候我發現我明明步驟沒有問題冰河服務端的7626端口也是開啟的,但是冰河的客戶端一直監聽不到服務端;經過了各種嘗試之后發現只是一個小操作問題;在這里記錄一下,順便復習一下冰河;
0x00 實驗前準備
冰河木馬畢竟比較久遠了,它是只能在32位的操作系統上運行!!!的,如果運行在64位操作系統上你會發現7626端口并沒有開啟而且注冊表中也沒有添加上注冊項
**
攻擊機:windows xp 32位
目標機:windows xp 32位
冰河木馬:可以自行上網下載,這里提供一個我用的版本
鏈接: https://pan.baidu.com/s/16cngpig9atXUL7y4CP8BMQ 提取碼: y4sj 復制這段內容后打開百度網盤手機App,操作更方便哦
0x01 查看攻擊機和目標機的IP
打開運行(可以搜索運行 或者 按住鍵盤上windows的圖標 + R),輸入cmd進入命令行窗口,在其中輸入 ipconfig;
這里我們得到我的攻擊機IP為:192.168.13.138
同樣的方法打開目標機查看IP;得到目的機IP為:192.168.13.137
0x02 配置冰河木馬的服務器端
這里提一句,將冰河木馬放在虛擬機中的方法:
方法一:
直接在虛擬機中下載冰河木馬
方法二:
下載好之后從物理機中移動到虛擬機;如果想從物理機移動的話則需要在虛擬機中安裝vmTools,安裝方法很簡單:
點擊上方選項卡“windows xp”的部分,右鍵,選擇“安裝VMware Tools”即可(因為我已經安裝過了,所以這里顯示的是重新安裝);安裝過程直接下一步下一步完成就好了;安裝完成后虛擬機應該會提示“建議您重啟該虛擬機以生效”,按照他的指示重啟就好,然后我們就可以將物理機上的文件拖動到虛擬機中了
然后我們在攻擊機中打開冰河文件夾的客戶端程序開始配置服務端:
擴展知識:
G_CLIENT.EXE:是客戶端程序,是攻擊機使用的,用來配置服務端的
G_SERVER.EXE:是服務端程序,當在客戶端配置完成后將該程序發送給目標機讓目標機運行的
Operate.ini:是配置文件,我們在G_CLIENT.EXE中配置的東西都會在該文件中展示
READEME.TXT:是這個的開發者給我們寫的使用說明,有需要的話可以自行觀看
第一次雙擊客戶端程序進入后,左側那一欄會有很多主機符號,但其實都沒有用因為都連接不上,我們可以點擊刪除符號后將其中的主機都清空
清空完后,我們點擊上方的 設置 -> 配置服務器程序 開始配置我們的服務端
第一個選項卡是基本配置
擴展知識:
- WINDOWS:服務端程序會放在目標機中C盤下的一個叫WINDOWS的文件夾中
- SYSTEM:服務端程序放在目標機C盤中的SYSTEM文件夾下;和WINDOWS不同的是,SYSTEM下的系統文件本就多,所以藏在里面不容易被發現;這里我們就選擇SYSTEM文件夾
- TEMP:也是C盤的一個文件夾,只是她默認是隱藏掉這個文件夾的
配置好之后是這樣的:
然后點擊自我保護選項,開始配置注冊表信息:
鍵名:是我們寫入注冊表的名字,可以自行定義,這里我們寫bignhe;其余的默認就好
到這里,配置服務端程序就算完成了;點擊確定即可
0x03 發送服務端程序到目標機
方法一:
通過遠程連接的方式將G_SERVER.EXE發送給目標機;
ps:想通過遠程連接的話,需要在目標機中設置允許遠程連接;在目標機中點擊 我的電腦 -> 選擇屬性 -> 選擇遠程;勾選上 “允許用戶遠程連接到此計算機”
然后在攻擊機中,選擇所有程序 -> 附件 -> 通訊 -> 遠程桌面連接;輸入目標機的IP地址和用戶名(用戶名一般都是Administrator)即可連接
方法二:
將G_SERVER.EXE復制到物理機中然后再從物理機復制到目標機中;
但是這個方法一定要注意不要在物理機中雙擊這個程序!不要在物理機中雙擊這個程序!不要在物理機中雙擊這個程序!(重要的事情說三遍)否則你的物理機就會中毒
移動到物理機的過程中可能會被殺毒軟件自動清除掉,你可以選擇在殺毒軟件中找回他或者干脆就在移動之前關掉殺毒軟件;
移動完成后請立即將該程序刪除并從回收站中刪除以除后患!
0x04 目標機運行服務端程序
在目標機中雙擊運行G_SERVER.EXE,運行后并不會有什么反應,但是我們可以在服務端口中看到7626端口已經被開啟,這就代表客戶端可以監聽服務端程序了
ps:查看服務端口的方法,按住windows +R 輸入cmd打開命令窗口,輸入: netstat -an
0x05 客戶端監聽服務端程序
在攻擊機中,雙擊打開G_CLIENT.EXE
因為我們已經知道了目標機的IP,所以我們選擇第一個手動添加進來;
也可以選擇第三個圖標進行搜索,但是一般是不太搜索的到的;當然如果你運氣好的話也能搜到;搜到的話前面有個OK的標識符(這里因為我沒有搜索成功所以就不貼圖了)
輸入目標機的IP地址(前面第一步我們已經得到了),點擊確定;(這里IP具體是多少根據自己的情況而定)
添加完成后,左側的列表就會有我們添加的機器了;我們看到機器前面有個小加號,如果點開加號下面有東西則代表我們成功的監聽了目標機;
問題來了!
我添加了之后下面的進度條一直顯示我連接失敗!像這樣:
在我經過一眾排查后,我想到可能是因為我的目標機沒有關防火墻所以被攔截了;因此我又到目標機中關掉防火墻:
在目標機中的 開始菜單中選擇 控制面板 -> 安全中心 -> 選擇下面的windows防火墻
將這里的啟用改為關閉;此時再次在攻擊機中連接就發現可以連接成功了
此時我們就可以查看目標機下的文件了
其中圖中的1是查看屏幕:即可以查看當前目標機的電腦狀態
圖中的2是控制屏幕:即我們可以操作目標機
圖中的3是冰河信使:相當于一個攻擊機和目標機單聊的窗口,可以互發消息
更多功能這里就不贅述了,請自行探索
0x06 刪除冰河木馬
方法一:反卸載
在攻擊機中的額G_CLIENT.EXE中選中目標機然后點擊命令控制臺,找到控制類命令,選擇系統控制,點擊自動卸載冰河即可
方法二:手動卸載
將他的值改為:C:\WINDOWS\notepad.exe %1
點擊確定后就算全部刪除完成了
本文章僅供學習參考,禁止以此做任何危害他人利益的事情!!!
本文章僅是個人的學習總結,若有任何不正確的地方歡迎各位批評指正
總結
以上是生活随笔為你收集整理的冰河木马学习之监听服务端失败的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 快来试试Python写的游戏《我的世界》
- 下一篇: 浅谈排队论