无忧启动论坛

 找回密码
 注册
搜索
系统gho:最纯净好用系统下载站投放广告、加入VIP会员,请联系 微信:wuyouceo
查看: 8875|回复: 31
打印 上一主题 下一主题

放个毒,利用 waitfor.exe 和 ftp.exe 实现 后门下载的脚本

  [复制链接]
跳转到指定楼层
1#
发表于 2018-4-18 11:03:33 | 只看该作者 |只看大图 回帖奖励 |倒序浏览 |阅读模式
本帖最后由 dos时代菜鸟 于 2018-4-22 08:23 编辑

以前只是用 waitfor 做 sleep 用。现在 弄个高级的。

ftp服务器地址、路径、用户名密码,请分别在 在 waitfor服务端 和 客户端 脚本中自行修改。

本压缩包功能是用于远程脚本运行

服务端做的事情:循环监听 等待 Waitfor 通信标识
0、服务器程序 前段 设定了 中转ftp服务器地址和用户名密码,还有 waitfor 的通信标识,以及要调用的脚本名称。
1、获取服务端 ip 并在 程序中指定的 ftp 服务器上的指定目录 创建以 ip地址为名称的 目录,等待客户端 激活。
2、当接收到 waitfor 通信标识而激活后,服务端 会调用 ftp 服务器指定位置(上一步在ftp服务器上生成的目录)中的特定 脚本。
客户端做的事情:
根据 set.ini 中的内容 将脚本上传给 ftp中转服务器,并 发送 waitfor 通信标识,激活 waitfor 服务器运行ftp上的脚本。


运行环境 至少 win7
服务端需要 vbs支持,wim支持,有cmd.exe、 ftp.exe 、 waitfor.exe
客户端需要 cmd.exe 、ftp.exe、waitfor


WaitFor-1.6.zip (7.73 KB, 下载次数: 67)



点评

大师最近准备出什么好东西??不要藏起来了,要多放毒给俺们小白们.....亲.....  发表于 2018-4-19 11:36
2#
发表于 2018-4-18 11:16:14 | 只看该作者
大师的毒放的好。。。

俺等喜欢大师毒。。。
回复

使用道具 举报

3#
发表于 2018-4-18 13:59:09 | 只看该作者
后门下载是什么?

点评

给 电脑留一个 可供远程 遥控的 门,等待 遥控端 激活。 这里 只是 通过最原始的方式,ftp 服务器 下载脚本并运行。 被遥控端等待激活的 命令是 waitfor ,也就是waitfor服务端, 服务端 和 客户端 都 指向同一个  详情 回复 发表于 2018-4-18 15:03
回复

使用道具 举报

4#
 楼主| 发表于 2018-4-18 15:03:58 | 只看该作者
sghihor 发表于 2018-4-18 13:59
后门下载是什么?

给 电脑留一个 可供远程 遥控的 门,等待 遥控端 激活。
这里 只是 通过最原始的方式,ftp 服务器 下载脚本并运行。
被遥控端等待激活的 命令是 waitfor ,也就是waitfor服务端,
服务端 和 客户端 都 指向同一个 ftp 服务器 上的某个 脚本。客户端上传脚本 并 通知服务端 下载并运行该脚本。
回复

使用道具 举报

5#
发表于 2018-4-18 15:11:59 | 只看该作者
免费看片扫码进群或加微信yijiecaomin66拉你进群

04.17_副本.jpg (56.18 KB, 下载次数: 99)

04.17_副本.jpg

评分

参与人数 2无忧币 -10 收起 理由
zjrhk -5
易广白 -5

查看全部评分

回复

使用道具 举报

6#
发表于 2018-4-18 15:14:46 | 只看该作者
这个毒怎么防?我有一个网站,上面有一个留言板快,每天到数据库里面看都有上万条waitfor和sleep。我的处理方法是看到waitfor和sleep,就真的让他sleep30秒,降低攻击频率

点评

监控进程,找到 waitfor 的上一级 程序,关掉进程树。 用 火绒 可以 设置规则 不让 waitfor.exe 运行  详情 回复 发表于 2018-4-18 16:02
回复

使用道具 举报

7#
 楼主| 发表于 2018-4-18 16:02:54 | 只看该作者
lbw2007 发表于 2018-4-18 15:14
这个毒怎么防?我有一个网站,上面有一个留言板快,每天到数据库里面看都有上万条waitfor和sleep。我的处理 ...

监控进程,找到 waitfor 的上一级 程序,关掉进程树。

用 火绒 可以 设置规则 不让 waitfor.exe 运行
回复

使用道具 举报

8#
发表于 2018-4-18 21:56:21 | 只看该作者
厉害了我的哥…!
回复

使用道具 举报

9#
发表于 2018-4-19 08:57:36 | 只看该作者
看看,很高端的样子
回复

使用道具 举报

10#
发表于 2018-4-19 09:36:01 | 只看该作者
我有个http版本的 功能跟楼主一样

点评

这样的东西,思路都差不多,只是 代码不一样而已。  详情 回复 发表于 2018-4-19 10:54
回复

使用道具 举报

11#
 楼主| 发表于 2018-4-19 10:48:49 | 只看该作者
改了一下,
服务端 增加 将ip创建成ftp目录,方便针对多waitfor服务器的情况,服务端 只到 ftp 服务器上 自己的 目录里面去下载 脚本运行。
客户端 增加 set.ini 外部设置文件,不用命令行,在 set.ini 中设置也可以。
回复

使用道具 举报

12#
 楼主| 发表于 2018-4-19 10:54:13 | 只看该作者
qh6420933 发表于 2018-4-19 09:36
我有个http版本的 功能跟楼主一样

这样的东西,思路都差不多,只是 代码不一样而已。

点评

是的 感觉http方便些  详情 回复 发表于 2018-4-20 16:06
回复

使用道具 举报

13#
发表于 2018-4-19 11:36:59 | 只看该作者
大师最近准备出什么好东西??不要藏起来了,要多放毒给俺们小白们.....亲.....

回复

使用道具 举报

14#
 楼主| 发表于 2018-4-19 15:52:50 | 只看该作者
考虑到 serv 脚本运行中 生成 多个 供 ftp.exe 用的 脚本,所以 改了下,重新变了一个 用 exec 运行 ftp.exe 的脚本。

方便调试,增加了 内部 ip 支持,127.0.0.1

都放在一楼了。
回复

使用道具 举报

15#
 楼主| 发表于 2018-4-19 15:57:44 | 只看该作者
本帖最后由 dos时代菜鸟 于 2018-4-19 16:00 编辑


还需要大家 在广域网 测试,
服务端 关闭,可以在服务端运行

  1. taskkill /im cscript.exe /f /t
复制代码

回复

使用道具 举报

16#
 楼主| 发表于 2018-4-19 20:45:18 | 只看该作者
服务器 端 脚本 用到了 生成 子脚本 二次调用 主脚本 使主脚本 隐藏运行,相对来说  比只判断 wscript 的 host 要精确一些吧。
涉及  文件读写,注册表写入,wim 获取 ip_ver4 IP地址,以及以exec方式调取 cmd程序并输入指令。exec 方式调用cmd程序 还能隐藏窗口。

vbs脚本方面,学习参照价值 大于 实际应用价值。呵呵。
回复

使用道具 举报

17#
 楼主| 发表于 2018-4-20 09:20:39 | 只看该作者
继续
研究了一下 带空格的情况,现在 waitfor服务器 vbs脚本,支持 在 到空格的 目录运行了。
回复

使用道具 举报

18#
发表于 2018-4-20 16:06:49 | 只看该作者
dos时代菜鸟 发表于 2018-4-19 10:54
这样的东西,思路都差不多,只是 代码不一样而已。

是的  感觉http方便些

点评

能将你的 http 版本发出来吗?  详情 回复 发表于 2018-5-3 20:27
回复

使用道具 举报

19#
 楼主| 发表于 2018-4-22 08:25:24 | 只看该作者
本帖最后由 dos时代菜鸟 于 2018-4-22 08:27 编辑

vbs 调用  exec 方式启动  ftp  ,可以 通过  .stdout.readline 获取命令输出结果,方便 程序调试,判断 命令是否执行完毕。这个  run 模式 是 实现不了的。

另外 考虑  ftp 服务器  用户名 分 读写 权限,所以还是要 调整一下。
新的版本 已经上 1 楼 了。
回复

使用道具 举报

20#
发表于 2018-5-3 20:27:35 | 只看该作者
qh6420933 发表于 2018-4-20 16:06
是的  感觉http方便些

能将你的 http 版本发出来吗?

点评

http下载是我原来一个vbs的一部分 帖一部分吧 这段也是原来照着别人的改的  详情 回复 发表于 2018-5-7 10:42
http 的我没做成。当时好像是 系统剪切板 不知道怎么清空,或者http 缓存 的什么原因,导致 不能多次下载不同文件。而且还有文件大小限制,4M .就没有弄。  详情 回复 发表于 2018-5-4 08:26
回复

使用道具 举报

21#
 楼主| 发表于 2018-5-4 08:26:22 | 只看该作者
topway 发表于 2018-5-3 20:27
能将你的 http 版本发出来吗?

http 的我没做成。当时好像是 系统剪切板 不知道怎么清空,或者http 缓存 的什么原因,导致 不能多次下载不同文件。而且还有文件大小限制,4M .就没有弄。
回复

使用道具 举报

22#
发表于 2018-5-7 02:33:16 | 只看该作者
没明白到底干什么用的??
回复

使用道具 举报

23#
发表于 2018-5-7 10:42:04 | 只看该作者
本帖最后由 qh6420933 于 2018-5-7 10:44 编辑
topway 发表于 2018-5-3 20:27
能将你的 http 版本发出来吗?

  1.         Set HttpDownFile = CreateObject("Msxml2.XMLHTTP")
  2.         strHttpFile="http://" & iniNetIPServer & "/IP.ini"
  3.         HttpDownFile.Open "GET",strHttpFile,0
  4.         HttpDownFile.Send()
  5.         Set GetFile = CreateObject("ADODB.Stream")
  6.         GetFile.Mode = 3
  7.         GetFile.Type = 1
  8.         GetFile.Open()
  9.         GetFile.Write(HttpDownFile.responseBody)
  10.         GetFile.SaveToFile strIniFilePath,2
  11.         '确保此暂停时间能够保存完整的下载文件
  12.         wscript.sleep 10000
复制代码


http下载是我原来一个vbs的一部分 帖一部分吧 这段也是原来照着别人的改的

总的来说 就是下载指定IP上的某一文件,然后保存 再运行

点评

这个我 试过,一个是文件大下的问题,还有就是 怎么确定文件已经下载完毕,再有就是 剪切板 或者缓存 可能导致 你下载第二个文件的时候,下载下来的还是第一个的内容 。  详情 回复 发表于 2018-5-7 11:13
回复

使用道具 举报

24#
 楼主| 发表于 2018-5-7 11:13:12 | 只看该作者
qh6420933 发表于 2018-5-7 10:42
http下载是我原来一个vbs的一部分 帖一部分吧 这段也是原来照着别人的改的

总的来说 就是下载指 ...


这个我 试过,一个是文件大小的问题,还有就是 怎么确定文件已经下载完毕,再有就是 剪切板 或者缓存 可能导致 你下载第二个文件的时候,下载下来的还是第一个的内容 。

点评

是的 复杂点的 就需要循环下载 而且先下载 真正要下载文件的md5 再下载文件 再验证md5 正确下载完毕 错误重新下载 不过我这个就是下载IP列表 原则上可以用来下载bat/vbs/exe小文件做维护用  详情 回复 发表于 2018-5-7 11:19
回复

使用道具 举报

25#
发表于 2018-5-7 11:19:36 | 只看该作者
dos时代菜鸟 发表于 2018-5-7 11:13
这个我 试过,一个是文件大小的问题,还有就是 怎么确定文件已经下载完毕,再有就是 剪切板 或者缓存  ...

是的  复杂点的 就需要循环下载 而且先下载 真正要下载文件的md5 再下载文件 再验证md5 正确下载完毕 错误重新下载  
不过我这个就是下载IP列表 原则上可以用来下载bat/vbs/exe小文件做维护用
回复

使用道具 举报

26#
发表于 2018-5-27 16:42:02 | 只看该作者
<a href=http://www.ftrend.cn/>北京赛车</a>
回复

使用道具 举报

27#
发表于 2018-6-1 18:47:51 来自手机 | 只看该作者
thank                           
回复

使用道具 举报

28#
发表于 2018-6-5 19:38:03 | 只看该作者
不明觉厉,标记一下!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2024-12-1 00:41

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表