聽說過灰鴿子、冰河等可以實作遠端控制,但你聽說過IE也可以實作嗎?不錯,一款基于IE的新鮮工具——rmtSvc&vIDC即可讓微軟的IE成為一個超級黑客幫兇。本文除了将為你展現rmtSvc&vIDC是如何基于IE遠端控制殭屍電腦以外,更在如何“暗殺”防毒軟體、攻擊思路上有較強的指導性。
如果我問你IE能做什麼?你的答案絕對不完整!IE可不僅僅能浏覽網頁。如果我再告訴你IE還能用來遠端控制、遠端傳輸、程序管理、代理服務,甚至遠端開啟Telnet、FTP服務等等呢?你一定覺得不可思議吧,有了rmtSvc&vIDC,這一切皆有可能!
一、有IE 想黑就黑
簡單點說,rmtSvc是一款集FTP、Telnet服務、Proxy服務以及vIDC服務的遠端控制工具。使用者可以通過此款工具友善地對遠端計算機進行控制。此工具和其它遠端控制工具不同,它采用B/S結構(無需安裝),使用者可通過浏覽器進行遠端控制(我們的口号是:有IE,想黑就黑!)。
下面,筆者就以入侵控制的執行個體來為大家分别介紹rmtSvc常用功能的使用方法及技巧。解壓下載下傳後的壓縮包,先别急着讓rmtSvc.exe在目标機運作(未加殼的程式會遭到防毒軟體的清除),筆者先告訴大家如何給源程式加殼進而避免被清除吧(不然就沒得玩了-_-|)。運作該軟體,進入“選項”菜單,勾選“保留額外資料”,然後“打開檔案”,選擇源程式rmtSvc.exe後就會自動壓縮了。
特别提醒:壓縮後的rmtSvc.exe不會被防毒軟體清除,而且檔案體積會減少近50%(經過金山毒霸6增強版、KV2005、諾頓2005測試),如果想進一步增強隐蔽性,請參考2004年第50期G9版《披着羊皮的狼——将Radmin改造為百分百木馬》一文介紹的“超級捆綁”軟體的使用方法。木馬程式的欺騙發送本文就不作進一步讨論了。
二、武裝rmtSvc “暗殺”防毒軟體
1.打開浏覽器輸入[url]http://IP:port[/url](其中IP為被控機的IP位址,port為rmtSvc的服務端口,預設為7778)。連接配接成功後将會看到如圖1的歡迎登入畫面,輸入通路密碼(預設為123456),就可以進行rmtSvc所支援的操作(如果之前已經連同msnlib.dll和webe目錄都發給了對方,那麼rmtSvc将會多出用MSN進行遠端控制和HTTP方式檔案管理的功能)。
2.歡迎登入畫面的上方為rmtSvc的系統菜單,從左至右的功能依次為:Pview (程序檢視)、Spy++(遠端控制管理)、Proxy(啟動或停止rmtSvc的代理服務)、vIDC(設定vIDCs的通路權限)、logoff(登出對rmtSvc登入)、Option(配置rmtSvc的運作參數)、About(rmtsvc歡迎/登入畫面)。
3.第一次登入需進入rmtSvc的參數設定更改敏感資訊(圖2),這樣才能保障其安全性。先在“Modify Password”修改rmtSvc通路密碼,再在“Service Port”更改rmtSvc服務端口為任意一個4位不常用的端口(需要重新開機服務才會生效,建議設為高端端口)。然後将“Start Control、Stolen mode”選上,這樣rmtSvc會自動安裝為Windows服務随機啟動且服務為隐藏屬性,這也就意味着在下次啟動時,你可以繼續控制目标機器。
4.接下來在“Start mode”選項中,設定rmtSvc運作後自動啟動FTP和Telnet服務(另外還有Proxy、vIDCs映射等)。通過FTP可以友善地進行檔案上傳下載下傳。再将“Auto install service”和“Forbid detaching Dll”選擇上,這樣每次程式運作時會自動檢測rmtSvc服務是否已安裝,如果沒有安裝則自動安裝為服務(相當于自我修複功能)并釋放一個DLL檔案(可修改檔案名,預設為inject.dll),這是為了防止自動釋放的未加殼的DLL被防毒軟體清除,使用者可以選擇不釋放DLL。手工将加殼後的DLL拷入到被控機的系統目錄下,在釋放DLL的名稱處填入你加殼後的DLL名稱。
高手傳經:rmtSvc釋放的DLL主要有以下用處:隐藏程序、模拟“Ctrl+Alt+Del”按鍵、顯示密碼框密碼、監視rmtSvc運作情況。如果異常退出或被殺掉則會自動重新啟動,将配置參數寫入rmtSvc程式本身(強烈建議選擇)。
5.接下來在“Killed Program”中,設定rmtSvc監視并自動殺掉的程序名稱,如有多個程序,各個名稱之間以逗号分隔。例如輸入:PFW.exe,KAVSvc.exe就可以把金山毒霸和天網防火牆關閉。
6.一切設定無誤後,點選“Save”儲存目前配置,在彈出的對話框中輸入reg,将配置參數寫入到系統資料庫。輸入self則是将配置參數寫入該EXE檔案自身,如果填寫其它則會生成相應檔案名的.exe的副本,并将配置參數寫入此EXE副本。例如:輸入c:\abc.exe,将在c盤根目錄下生成一個abc.exe副本,并将配置參數寫入此副本。
7.随後rmtSvc服務會重新啟動運作。
高手傳經:隐藏模式下才可以将配置參數寫入EXE本身,如果沒有儲存,每次在rmtSvc正常退出時也會将配置參數寫入EXE本身。
8.再次使用新設密碼登入後,單擊Pview進入“程序檢視”頁面,在這裡将顯示三個部分的資訊:系統資訊、程序/子產品資訊、CPU/記憶體使用資訊。在頁面的右邊為程序子產品顯示區域,點選某個程序名則顯示此程序的相關子產品資訊,點選“Kill It”按鈕就可以殺掉該程序(需要注意的是程序清單不會實時自動重新整理,使用者必須手工重新整理)。現在你的rmtSvc已經被武裝到了牙齒,還等什麼,可以出手了。
三、用IE控制過把瘾
把擋路的安全軟體給“暗殺”後,接下來就可以趁對方不在時使用Spy++遠端控制管理來遠端控制機器了。當然在控制前我們需要将相關參數設定妥當,這樣才能得到更好的控制效果。
1.在“Quality”顯示效果中選擇Good(好),“Stretch”設定捕獲圖像的縮小比率80%。最後将“Cursor”選上,這樣在捕獲遠端計算機螢幕時就會連同滑鼠光标一起捕捉,以便使用者知道目前滑鼠光标位置。設定好後點選“Set”使上述三個參數生效。
2.接下來就可以嘗試控制了。當遠端桌面圖像處于焦點狀态(滑鼠在圖像區域内),你就可以直接敲擊鍵盤發送按鍵資訊,和你操作本地機器一樣。但是對于輸入大段的文本這是非常不友善的,因為你的每次按鍵動作都會作為一次HTTP請求發出,輸入速度很慢。
如果你想輸入大段文本,可以将滑鼠選中Input輸入框,然後輸入你想要發送的文本,按下回車即可;如果選中了Crlf複選框,則在你輸入的文本後面會自動加入回車換行。
3.但是在進行遠端計算機登入時,有些機器可能無法通過Input輸入框直接輸入登入密碼,隻能通過模拟鍵盤輸入登入密碼。方法如下:通過滑鼠直接點選桌面圖像,系統會自動識别你的滑鼠的單擊、輕按兩下鍵資訊。如果你在按下滑鼠的同時按下了“Shift”、“Alt”或“Ctrl”鍵,系統也能自動識别。
4.為了更友善地控制遠端桌面,可以将遠端桌面圖像設為自動重新整理,這樣就不會出現有動作發出而圖像沒有變化需要手工重新整理的情況了。方法如下,勾選“Auto-refresh”項,在右邊輸入自動重新整理間隔,預設為500ms。
高手傳經:如果想知道遠端被控機中密碼框中的密碼。則需要用到Password→Text項,在有密碼框時此項會變為Text→Password。此時隻要用滑鼠左鍵點選遠端桌面圖像的密碼輸入框,則遠端被控機密碼框中的密碼會被翻譯成明文顯示。如果你取消此項功能,點選Text→Password項即可,此時此項就會變為Password→Text。
5.如果要遠端執行程式,選擇Start下拉清單框的Run項,輸入你要遠端執行的檔案名和參數即可,使用方法和Windows的開始菜單的運作指令一緻。
如此這般,通過IE就能像操作本機一樣控制目标機了。
四、FTP/Telnet 一個都不能少
遠端控制似乎并不能讓我們感到滿足,那就再來開啟對方的FTP/Telnet服務,徹底過把入侵瘾吧。
1.進入“FTP&Telnet”菜單,點選FTP/Telnet服務旁邊的“Run”就可以啟動相關服務了。FTP/Telnet port:設定FTP/Telnet服務的端口,預設FTP為2121,Telnet為2323。Anonymous access:設定通路FTP服務的權限,是否允許匿名通路(enable),如果不允許則設定通路的使用者名和密碼。
2.另外,我們還要允許設定不同通路的賬号,每個賬号可以指定是否可寫/可删除/可執行以及設定不同的FTP根目錄。可以在FTP設定的文本輸入框中輸入多個通路賬号資訊,各個賬号資訊用回車換行分隔,賬号資訊格式如下:
[賬号名] SP [密碼] SP [通路權限] SP [允許通路的目錄] CRLF
高手傳經:設定PERMISSION(通路權限)時,0:僅僅隻讀,1:可寫,3:可寫并且可删除 7:可寫可删除可執行。例如:[cytkk] sp [123456] sp [7] sp [c:] 就建立了一個擁有管理者權限,密碼為123456的cytkk賬戶。
3.此時FTP賬号資訊僅僅寫入系統資料庫儲存,不會儲存到EXE中。
現在就可以利用FTP工具和Windows自帶的Telnet工具進行登入和操作了,此時你想怎麼玩就怎麼玩吧!
到此,rmtSvc基本功能的使用大家就已經學會了,限于篇幅,它更多的功能就不在此一一舉例了,有興趣的朋友可以通過論壇與我們共同探讨。