4.5 使用“灰鸽子”实现远程控制
利用灰鸽子木马程序渗透入侵目标主机前,需要事先配置一个灰鸽子木马服务端程序,在被入侵的主机上运行,这样才能从远程进行控制。
4.5.1 配置灰鸽子木马
配置灰鸽子木马的具体操作步骤如下。
Step 01 下载并解压缩“灰鸽子”压缩文件,双击解压之后的可执行文件,打开灰鸽子操作主界面。
Step 02 在灰鸽子操作主界面中选择【文件】→【配置服务程序】菜单项,打开【服务器配置】对话框,在【自动上线】选项卡中可以对上线图像、上线分组、上线备注、连接密码等项目进行设置。
Step 03 选择【安装选项】选项卡,可在打开的设置界面中对安装名称、DLL文件名、文件属性以及服务端安装成功后的运行情况等进行设置。
Step 04 选择【启动选项】选项卡,可在打开的设置界面中对服务端运行时的显示名称、服务名称及描述信息等进行设置。
Step 05 选择【代理服务】选项卡,可在打开的设置界面中对开放时是否启用代理、启用哪种代理进行设置。
Step 06 选择【高级选项】选项卡,可在打开的设置界面中对是否在启动时隐藏运行后的EXE进程、是否隐藏服务端的安装文件和进程插入选项等进行设置。
Step 07 选择【图标】选项卡,可在打开的设置界面中对服务器使用的图标进行设置。
Step 08 如果想加载插件,还可以在【插件功能】选项卡中进行相应设置。一切设置完毕后,在【保存路径】文本框中输入生成服务端程序的保存路径及文件名,单击【生成服务端】按钮,生成服务端程序。
4.5.2 操作远程计算机文件
配置好灰鸽子木马服务端后,即可将木马服务端安装在“肉鸡”中(运行了木马并被黑客完全控制的远程主机,称为“肉鸡”),当成功安装后,就可以很容易地控制对方的计算机了。
木马操作远程计算机文件的具体步骤如下。
Step 01 在灰鸽子操作主界面中选择【设置】→【系统设置】菜单项,打开【系统设置】对话框,在该对话框中的【系统设置】选项卡下设置灰鸽子的自动检测和记录选项,在下方的【自动上线端口】文本框中输入自己在配置木马服务端时设置的端口号,设置完毕后,单击【应用改变】按钮。
Step 02 选择【语音提示设置】选项卡,在该选项卡下可以手工指定设置“肉鸡”上线和下线时的声音,也可以设置一些操作完成时的提示音,这样在主机上线和下线时,就可以发出提醒声音。
Step 03 启动灰鸽子客户端软件,中了灰鸽子木马的“肉鸡”就会自动上线,上线时有提示音,并在软件左侧【文件目录浏览】区的【华中帝国科技】中显示当前自动上线主机的数目。
Step 04 单击展开【华中帝国科技】组,在其中选择某台上线的主机,将会显示该主机上的硬盘驱动器列表。
Step 05 选择某个驱动器,在右侧可以看到驱动器中的文件列表信息,在文件列表框中右击某个文件,从弹出的快捷菜单中可以像在本地资源管理器中操作一样,下载、新建、重命名、删除对方计算机中的文件,还可以把对方的文件上传到FTP服务器上保存。
Step 06 在灰鸽子软件操作界面中单击【远程屏幕】按钮,打开远程桌面监视窗口,该窗口中实时显示了“肉鸡”在桌面上的运行状态图片。
Step 07 在灰鸽子软件操作界面中单击【视频语音】按钮,打开【视频语音】对话框,这样就可以很轻松地开启“肉鸡”的摄像头,并查看到摄像头拍摄的画面了。
Step 08 在【视频语音】对话框中单击【开始语音】按钮,开始监控接收声音,也可以选中【接收到的语音存为WAV文件】,将远程声音监控保存为本地音频文件。
4.5.3 控制远程计算机鼠标和键盘
有时自己的计算机中了木马后,常常会出现鼠标不受控制、乱单击程序或删除文件的现象,这是由于攻击者用木马抢夺了用户的鼠标、键盘控制权,让鼠标、键盘只听从攻击者的命令。下面介绍如何利用灰鸽子木马来远程控制计算机鼠标和键盘的操作,具体控制过程如下。
Step 01 控制了远程主机的桌面屏幕后,单击工具栏上的【传送鼠标和键盘】按钮,就可以切换到鼠标、键盘控制状态,此时在窗口中显示的桌面上单击,即可直接操作远程主机桌面,与在本地操作一样。
Step 02 在远程控制桌面窗口中单击工具栏上的【发送组合键】按钮,在其下拉菜单中选择发送各种组合键命令,如切换输入法、调出任务管理器等。
Step 03 有时远程主机会通过剪贴板复制/粘贴各种账号、密码等,攻击者可以监视控制远程主机的剪贴板,选择要监视的主机,在下方选择【剪贴板】选项卡,打开【剪贴板】设置界面。
Step 04 单击右侧的【远程剪贴板】按钮,即可发送一条读取命令,在下方显示远程剪贴板中复制的文本内容。
4.5.4 修改控制系统设置
灰鸽子木马有一个强大的系统控制能力,即可以随意地获取、修改远程主机的系统信息和设置。灰鸽子木马修改控制系统设置的操作步骤如下。
Step 01 查看远程主机信息。选择要控制的远程主机后,选择【信息】选项卡,在打开的界面中单击右侧的【系统信息】按钮,即可获得远程主机上的详细系统状态,包括CPU、内存情况、远程主机系统版本、主机名、当前用户等。
Step 02 管理系统进程。在灰鸽子下方选择【进程】选项卡,在打开的界面中单击右侧的【查看进程】按钮,可查看当前系统中所有正在运行的程序进程名称列表,如果发现危险进程,则可选中该进程后,单击右侧的【终止进程】按钮。
Step 03 管理远程主机服务。在灰鸽子下方选择【服务】选项卡,在打开的界面中单击【查看服务】按钮,可查看当前系统中所有正在运行的服务列表信息,在列表中选择某个服务后,可以设置当前服务是启动或关闭,并设置服务的属性为手动、自动或已禁用。
Step 04 在灰鸽子下方选择【插件】选项卡,在打开的界面中单击【刷新现有插件】按钮,可查看当前系统中所有正在运行的插件,在列表中选中某个插件后,可以启动、停止该插件,或查看插件的结果。
Step 05 在灰鸽子下方选择【窗口】选项卡,在打开的界面中单击【查看窗口】按钮,可查看当前系统中所有正在运行的窗口列表,在列表中选中某个窗口后,可以关闭、隐藏、显示、禁用、恢复该窗口。
Step 06 在灰鸽子下方选择【键盘记录】选项卡,在打开的界面中单击【启动键盘记录】按钮,可启动中文记录命令。
Step 07 单击【查看记录内容】按钮,在右侧的窗口中可查看当前键盘的记录。
Step 08 在灰鸽子下方选择【代理】选项卡,在打开的界面中可以看到灰鸽子为用户提供了两个代理,即Socks5和Http代理,单击Socks5代理设置区域中的【开始服务】按钮,即可启动Socks5代理。
Step 09 在灰鸽子下方选择【共享】选项卡,在打开的界面中单击【查看共享信息】按钮,可启动共享管理命令,并在左侧的窗格中列出了共享的信息,同时还可以新建共享、删除共享。
Step 10 在灰鸽子下方选择【DOS】选项卡,在打开的界面中的“Dos命令”文本框中输入相应的命令,然后单击【远程运行】按钮,启动MS-DOS模拟命令。
Step 11 在灰鸽子下方选择【注册表】选项卡,在打开的界面中单击【远程计算机】前面的【+】号按钮,展开注册表相应的键值列表,可查看远程主机的注册表信息。
Step 12 如果想修改远程主机的注册表信息,则选中某个注册表信息后右击,从弹出的快捷菜单中根据需要选择相应的命令,对注册表信息进行修改、新建、删除和重命名等操作。
Step 13 在灰鸽子下方选择【命令】选项卡,在打开的界面中显示当前主机的IP地址、地理位置、系统版本、CPU、内存、计算机名称、上线时间、安装日期、插入进程、服务端版本、备注等信息。
Step 14 灰鸽子还为用户提供了Telnet远程命令控制,单击灰鸽子工具栏上的【超级终端】按钮,可打开【Telnet命令】窗口,在该窗口中可以执行各种命令。
Step 15 【Telnet命令】窗口与本地命令窗口一样,只不过生效的是远程主机,命令将会被发送到远程主机上执行。另外,在【常用DOS命令】下拉列表框中显示有许多常用的入侵攻击命令,直接选择命令,即可在该窗口中自动输入相关的命令。
Step 16 另外,在灰鸽子操作界面中选择【工具】→【内网端口映射】菜单项,可打开【内网端口映射】对话框,在其中可以查看连接参数、映射设置、VPort服务端配置等信息。
Step 17 在灰鸽子操作界面中选择【工具】→【本地FTP服务器】菜单项,可打开【本地FTP服务器】对话框,在其中可以查看FTP主目录、服务端口、用户名、密码等信息。
Step 18 在灰鸽子操作界面中选择【工具】→【本地Web服务器】菜单项,打开【本地Web服务器】对话框,在其中可以查看Web主目录、服务端口等信息。
