设为首页收藏本站
开启辅助访问 切换到宽版

无忧启动论坛

 找回密码
 注册
搜索
无忧启动论坛»论坛 ::启动制作:: 脚本讨论区 放个毒,利用 waitfor.exe 和 ftp.exe 实现 后门下载的 ...
系统gho:最纯净好用系统下载站广告联系 微信:wuyouceo QQ:184822951
返回列表 发新帖
查看: 7622|回复: 31
打印 上一主题 下一主题

放个毒,利用 waitfor.exe 和 ftp.exe 实现 后门下载的脚本

  [复制链接]
跳转到指定楼层
1#
发表于 2018-4-18 11:03:33 | 显示全部楼层 |只看大图 回帖奖励 |倒序浏览 |阅读模式
加入VIP会员,获无忧币,赠积分,送勋章,下载无限制,获论坛最高级会员权限 !
本帖最后由 dos时代菜鸟 于 2018-4-22 08:23 编辑

以前只是用 waitfor 做 sleep 用。现在 弄个高级的。

ftp服务器地址、路径、用户名密码,请分别在 在 waitfor服务端 和 客户端 脚本中自行修改。

本压缩包功能是用于远程脚本运行

服务端做的事情:循环监听 等待 Waitfor 通信标识
0、服务器程序 前段 设定了 中转ftp服务器地址和用户名密码,还有 waitfor 的通信标识,以及要调用的脚本名称。
1、获取服务端 ip 并在 程序中指定的 ftp 服务器上的指定目录 创建以 ip地址为名称的 目录,等待客户端 激活。
2、当接收到 waitfor 通信标识而激活后,服务端 会调用 ftp 服务器指定位置(上一步在ftp服务器上生成的目录)中的特定 脚本。
客户端做的事情:
根据 set.ini 中的内容 将脚本上传给 ftp中转服务器,并 发送 waitfor 通信标识,激活 waitfor 服务器运行ftp上的脚本。


运行环境 至少 win7
服务端需要 vbs支持,wim支持,有cmd.exe、 ftp.exe 、 waitfor.exe
客户端需要 cmd.exe 、ftp.exe、waitfor


WaitFor-1.6.zip (7.73 KB, 下载次数: 67)



点评

q8155128
大师最近准备出什么好东西??不要藏起来了,要多放毒给俺们小白们.....亲.....  发表于 2018-4-19 11:36
回复

使用道具 举报

2#
 楼主| 发表于 2018-4-18 15:03:58 | 显示全部楼层
sghihor 发表于 2018-4-18 13:59
后门下载是什么?

给 电脑留一个 可供远程 遥控的 门,等待 遥控端 激活。
这里 只是 通过最原始的方式,ftp 服务器 下载脚本并运行。
被遥控端等待激活的 命令是 waitfor ,也就是waitfor服务端,
服务端 和 客户端 都 指向同一个 ftp 服务器 上的某个 脚本。客户端上传脚本 并 通知服务端 下载并运行该脚本。
回复

使用道具 举报

3#
 楼主| 发表于 2018-4-18 16:02:54 | 显示全部楼层
lbw2007 发表于 2018-4-18 15:14
这个毒怎么防?我有一个网站,上面有一个留言板快,每天到数据库里面看都有上万条waitfor和sleep。我的处理 ...

监控进程,找到 waitfor 的上一级 程序,关掉进程树。

用 火绒 可以 设置规则 不让 waitfor.exe 运行
回复

使用道具 举报

4#
 楼主| 发表于 2018-4-19 10:48:49 | 显示全部楼层
改了一下,
服务端 增加 将ip创建成ftp目录,方便针对多waitfor服务器的情况,服务端 只到 ftp 服务器上 自己的 目录里面去下载 脚本运行。
客户端 增加 set.ini 外部设置文件,不用命令行,在 set.ini 中设置也可以。
回复

使用道具 举报

5#
 楼主| 发表于 2018-4-19 10:54:13 | 显示全部楼层
qh6420933 发表于 2018-4-19 09:36
我有个http版本的 功能跟楼主一样

这样的东西,思路都差不多,只是 代码不一样而已。

点评

qh6420933
是的 感觉http方便些  详情 回复 发表于 2018-4-20 16:06
回复

使用道具 举报

6#
 楼主| 发表于 2018-4-19 15:52:50 | 显示全部楼层
考虑到 serv 脚本运行中 生成 多个 供 ftp.exe 用的 脚本,所以 改了下,重新变了一个 用 exec 运行 ftp.exe 的脚本。

方便调试,增加了 内部 ip 支持,127.0.0.1

都放在一楼了。
回复

使用道具 举报

7#
 楼主| 发表于 2018-4-19 15:57:44 | 显示全部楼层
本帖最后由 dos时代菜鸟 于 2018-4-19 16:00 编辑


还需要大家 在广域网 测试,
服务端 关闭,可以在服务端运行

  1. taskkill /im cscript.exe /f /t
复制代码

回复

使用道具 举报

8#
 楼主| 发表于 2018-4-19 20:45:18 | 显示全部楼层
服务器 端 脚本 用到了 生成 子脚本 二次调用 主脚本 使主脚本 隐藏运行,相对来说  比只判断 wscript 的 host 要精确一些吧。
涉及  文件读写,注册表写入,wim 获取 ip_ver4 IP地址,以及以exec方式调取 cmd程序并输入指令。exec 方式调用cmd程序 还能隐藏窗口。

vbs脚本方面,学习参照价值 大于 实际应用价值。呵呵。
回复

使用道具 举报

9#
 楼主| 发表于 2018-4-20 09:20:39 | 显示全部楼层
继续
研究了一下 带空格的情况,现在 waitfor服务器 vbs脚本,支持 在 到空格的 目录运行了。
回复

使用道具 举报

10#
 楼主| 发表于 2018-4-22 08:25:24 | 显示全部楼层
本帖最后由 dos时代菜鸟 于 2018-4-22 08:27 编辑

vbs 调用  exec 方式启动  ftp  ,可以 通过  .stdout.readline 获取命令输出结果,方便 程序调试,判断 命令是否执行完毕。这个  run 模式 是 实现不了的。

另外 考虑  ftp 服务器  用户名 分 读写 权限,所以还是要 调整一下。
新的版本 已经上 1 楼 了。
回复

使用道具 举报

11#
 楼主| 发表于 2018-5-4 08:26:22 | 显示全部楼层
topway 发表于 2018-5-3 20:27
能将你的 http 版本发出来吗?

http 的我没做成。当时好像是 系统剪切板 不知道怎么清空,或者http 缓存 的什么原因,导致 不能多次下载不同文件。而且还有文件大小限制,4M .就没有弄。
回复

使用道具 举报

12#
 楼主| 发表于 2018-5-7 11:13:12 | 显示全部楼层
qh6420933 发表于 2018-5-7 10:42
http下载是我原来一个vbs的一部分 帖一部分吧 这段也是原来照着别人的改的

总的来说 就是下载指 ...


这个我 试过,一个是文件大小的问题,还有就是 怎么确定文件已经下载完毕,再有就是 剪切板 或者缓存 可能导致 你下载第二个文件的时候,下载下来的还是第一个的内容 。

点评

qh6420933
是的 复杂点的 就需要循环下载 而且先下载 真正要下载文件的md5 再下载文件 再验证md5 正确下载完毕 错误重新下载 不过我这个就是下载IP列表 原则上可以用来下载bat/vbs/exe小文件做维护用  详情 回复 发表于 2018-5-7 11:19
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2024-5-6 09:10

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表